【发布时间】:2013-10-29 17:35:56
【问题描述】:
我需要处理使用 Jekyll 构建的静态网站的查询表。
查询表单将 JSONP 请求 (GET) 提交到处理请求的另一个域上的 PHP 应用程序。
由于表单是静态的,是否可以防止 CSRF?
我注意到 PHP Slim 框架的 CSRF 中间件只保护 POST、PUT 和 DELETE 方法,而不是 GET。
如果我在静态站点中有一个脚本,可以在每个页面加载时使用从服务器请求的数据(cookie 值、csrf 令牌以及字段值等)构建表单,这样可以吗?
感谢您的宝贵时间
【问题讨论】:
-
你想保护什么...如果用户没有以任何方式进行身份验证,那么提供 CSRF 保护没有任何好处。是这样吗?
-
没错,用户没有被认证。
-
无需防范 CSRF,因为表单在当前用户的上下文中提交不会获得任何收益 - 如果攻击者想在您的网站上提交表单,则无需去“跨站点”......他们只会提交它。听起来您正在使用 CAPTCHA 来阻止机器人提交表单(如果那是您真正想要的?)。
-
没错。再次感谢我希望我能检查您的评论作为正确答案。
标签: javascript php security jsonp csrf