2
"일반적인"CSRF 보호 방법은 세션 및 숨겨진 양식 요소에 nonce를 저장하는 것입니다. 공격하는 웹 사이트가 피해자의 세션을 사용하여 대상 양식을 긁어내어 숨겨진 양식 토큰을 얻은 다음 자신의 양식 요소에 토큰을 보낼 수 있습니까? 이 테스트를 통해 유효성을 검사합니다. 봇이 페이지를 긁어내어 넌스 (nonce)를 얻는 것이 가능한지 궁금합니다.CSRF를 방지 할만큼 세션 값과 숨겨진 양식을 비교하고 있습니까?
가능하다면 어떻게 이런 종류의 공격으로부터 보호 할 수 있습니까?
공격자가 nonce를 위해 페이지를 긁을 수 있다면, 이는 CSRF가 일반적으로 말하는 것 이상입니다. –