지금까지 배운 내용에서 토큰의 목적은 공격자가 양식 제출을 위조하지 못하게하는 것입니다.
예를 들어, 웹 사이트에 입력 한 양식에 장바구니에 항목을 추가 한 경우 공격자가 원하지 않는 항목으로 장바구니를 스팸으로 만들 수 있습니다.
장바구니 양식에 유효한 여러 입력이있을 수 있으므로 공격자는 웹 사이트에서 판매하는 항목을 알고 있으면됩니다.
이 경우 토큰이 작동하는 방식을 이해하고 사용자가 카트에 추가 된 각 항목에 대해 양식의 "제출"버튼을 실제로 채워 넣었는지 확인하기 때문에 보안을 추가합니다.
그러나 토큰은 사용자 로그인 양식에 보안을 추가합니까? 사용자 이름과 비밀번호가 필요합니까?
사용자 이름과 암호는 매우 고유하기 때문에 공격자는 로그인 위조가 작동하기 위해 (토큰 설정이없는 경우에도) 침입자가 이미 웹 사이트에 로그인 할 수 있음을 알고 있어야합니다. 그 자신. 말할 것도없이, 사용자가 스스로 로그인하게하는 CSRF 공격은 실제적인 목적을 갖지 못할 것입니다.
CSRF 공격 및 토큰에 대한 이해가 정확합니까? 그리고 의심되는 사용자 로그인 양식에는 쓸모가 없습니까?