禁用Cookie将导致CSRF故障。唯一的其他潜在问题是,cookie从发布到提交表单时过期(可能是用户加载了表单,打开浏览器窗口数小时或数天,然后返回并提交表单)。
当CSRF正确实施时,正常用户(非黑客)CSRF失败的原因是什么?
我认为其中一个原因是cookie被禁用。他们的浏览器/计算机设置中是否存在其他可能导致验证失败的原因?
谢谢。
CSRF基本上只是使用用户通过浏览网站自然获得的标准表单。如果POST数据中没有传递CSRF令牌,或者X-CSRFToken标头没有与令牌一起发送,AJAX请求可能会失败。如果不是从同一域发送,则通过HTTPS提交将失败。