Нужны ли формам входа токены против атак CSRF? ⇐ Php

[Anonymous]

Из того, что я узнал на данный момент, цель токенов — не дать злоумышленнику подделать отправку формы.

Например, если на веб-сайте есть с помощью этой формы можно добавлять добавленные товары в корзину, и злоумышленник может рассылать в вашу корзину товары, которые вам не нужны.

Это имеет смысл, поскольку действительных может быть несколько входные данные для формы корзины покупок, все, что нужно сделать злоумышленнику, — это знать товар, который продается на веб-сайте.

Я понимаю, как работают токены, и повышаю безопасность в этом случае, поскольку они гарантируют, что пользователь действительно заполнил и нажал кнопку «Отправить» в форме для каждого добавленного элемента. в корзину.

Однако повышают ли токены какую-либо безопасность формы входа пользователя, для которой требуются имя пользователя и пароль?

Поскольку имя пользователя и пароль очень уникальны, злоумышленник должен знать их как для того, чтобы подделка входа сработала (даже если у вас не настроены токены), так и, если злоумышленник уже знал это, он мог бы просто зайдите на сайт сам. Не говоря уже о том, что CSRF-атака, которая заставляет пользователя войти в систему, в любом случае не будет иметь никакой практической цели.

Правильно ли я понимаю CSRF-атаки и токены? И бесполезны ли они для форм входа в систему, как я подозреваю?

Подробнее здесь: https://stackoverflow.com/questions/641 ... rf-attacks