これまでに学んだことから、トークンの目的は、攻撃者がフォームの送信を偽造するのを防ぐことです。
たとえば、Webサイトに追加アイテムをショッピングカートに入力するフォームがあり、攻撃者が不要なアイテムでショッピングカートをスパムする可能性があります。
ショッピングカートフォームには複数の有効な入力がある可能性があるため、これは理にかなっています。攻撃者が行う必要があるのは、Webサイトが販売しているアイテムを知っていることだけです。
この場合、トークンがどのように機能し、セキュリティが追加されるかを理解しています。これは、カートに追加された各アイテムのフォームの「送信」ボタンをユーザーが実際に入力して押したためです。
ただし、トークンはユーザーのログインフォームにセキュリティを追加しますか?これにはユーザー名とパスワードが必要ですか?
ユーザー名とパスワードは非常に一意であるため、攻撃者はログインフォージェリが機能するために(トークンが設定されていなくても)両方を知っている必要があり、攻撃者がすでにそれを知っている場合は、Webサイトにサインオンするだけです彼自身。言うまでもなく、ユーザーを自分でログインさせるCSRF攻撃は、いずれにしても実用的な目的はありません。
CSRF攻撃とトークンに対する私の理解は正しいですか?そして、私が疑っているように、それらはユーザーログインフォームには役に立たないのですか?