根据到目前为止的了解,令牌的目的是防止攻击者伪造表单提交。
例如,如果某个网站的表单向您的购物车中输入了添加的商品,那么攻击者可能会向您的购物车中发送您不想要的商品。
这是有道理的,因为购物车表单可能有多个有效输入,攻击者要做的就是知道该网站正在销售的商品。
我了解令牌在这种情况下的工作原理并增加了安全性,因为它们可确保用户实际上已填写并为添加到购物车中的每个商品按下了表单的“提交”按钮。
但是,令牌是否为需要用户名和密码的用户登录表单增加了任何安全性?
由于用户名和密码非常独特,攻击者必须知道两者才能使登录伪造正常工作(即使您没有设置令牌),并且如果攻击者已经知道,则可以登录网站他自己。更不用说,使用户登录自己的CSRF攻击也没有任何实际用途。
我对CSRF攻击和令牌的理解正确吗?而且我怀疑它们对用户登录表单没有用吗?