使用csrf令牌方法,当服务器向客户端发送表单时,它也发送csrf令牌。当客户端填写表单并将其发布到服务器时,服务器将验证令牌是否与它随表单一起发送的令牌相同。此方法可防止csrf攻击,因为黑客在尝试生成表单发布请求时无法猜测csrf令牌值。
我是说https是csrf令牌方法预防csrf攻击的先决条件吗?否则,如果这是一个http请求,则黑客可以拦截该表单,令牌并进行更改,然后再次提交该表单。
[我不会说-as-概念,例如可以说使用过时的TLS协议通过https连接进行csrf攻击是可能的,所以'要防止csrf攻击需要TLS v1.3吗?] >
当然,https将在连接上添加另一层保护,从概念上讲,我说CSRF令牌不需要'https'起作用,但这是实用的。
“ HTTPS本身无法防御CSRF。但是,应该将HTTPS视为任何预防措施都值得信赖的先决条件。“