我刚开始学习CSRF。根据OWASP CSRF文章
CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated
如果一个网站不接受任何用户身份验证,或者身份验证信息没有存储在cookie中,这是否意味着它不容易受到CSRF的攻击。
我开发了一个网站,要求用户输入他的机票信息,与数据库核对信息,如果正确的用户将被导航到一个页面,他需要在那里提供他的信用卡信息,他的记录将被更新。我需要担心CSRF吗?还是车票信息本身被视为身份验证?
如果您的站点使用允许用户执行特权操作的会话,则必须担心跨站点请求伪造。由于我假设您创建了一个会话属性来指示用户的票证信息是有效的,所以是的。