订阅时事通讯需要AntiForgeryToken吗?
订阅时事通讯需要AntiForgeryToken吗?
提问于 2017-12-22 11:18:00
一般的建议是在所有的邮件请求中包含一个防伪令牌,但它是否需要电子邮件通讯订阅表?
许多单一的页面滚动站点在页面上都有电子邮件订阅表单,使用防伪造令牌可能会对性能产生影响,因为反伪造令牌和缓存不能很好地协同工作。
回答 1
Security用户
回答已采纳
发布于 2017-12-22 11:53:30
那得看情况。
对于受到某种身份验证保护的端点,您只需要对CSRF进行保护。攻击者需要欺骗受害者浏览器发送请求(即“伪造”请求)的原因是攻击者不知道会话cookie,因此不能只从自己的计算机发送。
因此,对于一个普通的通讯形式,那里没有认证,你只需输入你的电子邮件地址并点击提交,你不需要CSRF保护。如果我想违背你的意愿注册你,我只需输入你的电子邮件,并自己做。
但是,如果表单支持身份验证,并且可能是从用户数据库中获取电子邮件地址,那么情况就不同了。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/175982
复制相关文章
相似问题
腾讯云开发者
