З того, що я дізнався до цього часу, мета жетонів - не допустити, щоб зловмисник підробив подачу форми.
Наприклад, якщо на веб-сайті була форма, яка вводила елементи у вашу кошик для покупок, а зловмисник може спамувати вашу кошик з предметами, які ви не хочете.
Це має сенс, оскільки для форми кошика може бути кілька дійсних даних, все, що може зробити зловмисник, це знати предмет, який продає веб-сайт.
Я розумію, як маркери працюють і додають безпеку в цьому випадку, оскільки вони гарантують, що користувач фактично заповнив і натиснув кнопку "Надіслати" форми для кожного товару, доданого до кошика.
Однак додають жетони будь-яку безпеку до форми для входу користувача, яка вимагає імені користувача та пароля?
Оскільки ім'я користувача та пароль дуже унікальні, зловмисник повинен знати як для того, щоб підробка входу в систему працювала (навіть якщо у вас не було налаштування жетонів), і якщо зловмисник уже знав це, він може просто ввійти на веб-сайт самого себе. Не кажучи вже про те, що атака CSRF, яка змушує користувача ввійти в систему, у будь-якому випадку не мала б жодної практичної мети.
Чи правильно я розумію атаки та лексеми CSRF? І чи є вони марними для форм входу користувачів, як я підозрюю?