比较会话值和隐藏表单是否足以防止 CSRF？

Question

因此，“典型”CSRF 保护方法是将随机数存储在会话和隐藏表单元素中。攻击网站是否可以首先使用受害者的会话抓取目标表单，获取隐藏的表单令牌，然后在自己的表单元素中发送令牌？自己测试了一下，确实如此。我只是好奇机器人是否有可能抓取页面并获取随机数。

如果这是可能的，那么如何防范此类攻击？

Answer 1

如果攻击者可以抓取受害者的页面，他就不需要使用 CSRF，因为他基本上可以对用户的数据执行任何操作。这实际上称为会话劫持，并且有保护用户免受其侵害的其他方法。