登录表单是否需要针对CSRF攻击的令牌？

根据到目前为止的了解，令牌的目的是防止攻击者伪造表单提交。

例如，如果某个网站的表单向您的购物车中输入了添加的商品，那么攻击者可能会向您的购物车中发送您不想要的商品。

这是有道理的，因为购物车表单可能有多个有效输入，攻击者要做的就是知道该网站正在销售的商品。

我了解令牌在这种情况下的工作原理并增加了安全性，因为它们可确保用户实际上已填写并为添加到购物车中的每个商品按下了表单的“提交”按钮。

但是，令牌是否为需要用户名和密码的用户登录表单增加了任何安全性？

由于用户名和密码非常独特，攻击者必须知道两者才能使登录伪造正常工作（即使您没有设置令牌），并且如果攻击者已经知道，则可以登录网站他自己。更不用说，使用户登录自己的CSRF攻击也没有任何实际用途。

我对CSRF攻击和令牌的理解正确吗？而且我怀疑它们对用户登录表单没有用吗？

是。通常，您需要像其他任何一样保护登录表单免受CSRF攻击。

否则，您的站点很容易受到“信任域网络钓鱼”攻击的攻击。简而言之，CSRF漏洞登录页面使攻击者可以与受害者共享用户帐户。

该漏洞的播放方式如下：

1. 攻击者在受信任的域上创建一个主机帐户
2. 攻击者使用此主机帐户的凭据在受害者的浏览器中伪造登录请求
3. 攻击者诱使受害者使用受信任的站点，他们可能不会注意到他们通过主机帐户登录。
4. 攻击者现在可以使用主机帐户登录浏览器时（有意或无意）访问受害者“创建”的任何数据或元数据

举一个相关的例子，考虑YouTube。YouTube允许用户查看“他们自己的”观看历史记录，并且他们的登录表单容易受到CSRF的攻击！因此，攻击者可以使用他们知道的密码设置一个帐户，然后使用该帐户将受害者登录到YouTube ，从而跟踪受害者正在观看的视频。

此注释线程中进行了一些讨论，暗示它可以“仅”用于此类侵犯隐私的行为。也许吧，但引用Wikipedia的CSRF文章中的部分：

登录CSRF使各种新颖的攻击成为可能；例如，攻击者以后可以使用其合法凭据登录该站点，并查看已保存在该帐户中的私人信息，例如活动历史记录。

强调“新式攻击”。想象一下网络钓鱼攻击对您的用户的影响，然后想象一下，网络钓鱼攻击是通过用户自己的可信任书签到达您的站点的！前面提到的评论主题中链接的论文提供了一些简单的隐私攻击之外的示例。

您的理解是正确的-CSRF的全部目的是攻击者可以事先伪造看起来合法的请求。但是，除非攻击者知道受害者的用户名和密码，否则无法使用登录表单来完成，在这种情况下，存在更有效的攻击方法（自己登录）。

最终，攻击者唯一能做的就是通过向失败的用户发送垃圾邮件来给用户带来不便，而此时安全系统可能会将用户锁定一段时间。

是的，因此其他网站无法模仿您的登录表单！就如此容易。

他们可以做到这一点吗？

• 第一：您不想允许。
• 第二：即使是非常简单的失败案例，例如：
  • 由于密码错误，阻止了用户n。的时间，是可以避免的。
  • 可以防止散乱的黑客警报。等等等

恕我直言，CSRF验证预登录没有太大意义。

感谢@squiddle提供的链接：seclab.stanford.edu/websec/csrf/csrf.pdf，我们可以在第一页上阅读：

The most popular CSRF defense is to include a secret
token with each request and to validate that the received
token is correctly bound to the user’s session,
preventing CSRF by forcing the attacker to guess the
session’s token.

如果您尝试登录前进行CSRF验证，那么可能的攻击者就有机会抓取您网站的有效代码！然后，他/她将能够重新发布令牌而无法达到目的。

然后，攻击者可能会尝试猜测您网站的用户名。我所做的，如果IP地址试图猜测说10个用户名没有成功，我只是将其列入黑名单。