validate tokens the submitted one form for anti and forms security language-agnostic

forms - tokens - csrf token



¿Se necesitan tanto tokens csrf como captcha? (2)

¿Puede alguien confirmar esto? ¿Debo proporcionar tanto un token CSRF como un Captcha en un formulario de envío, o los dos sirven más o menos para la misma función (uno puede usarse en lugar de otro)?

Sí, estaba equivocado. Tanto el captcha como el token están vinculados a la sesión.

Sin embargo todavía no veo mucho sentido en esta pregunta.
No puede usar CAPTCHA para cada formulario en el sitio. Hará que los usuarios se vuelvan locos y alejados.
Por lo tanto, ¿por qué no tener un token para todos los formularios de forma predeterminada y CAPTCHA para los seleccionados?

Se puede usar un captcha en lugar de un token CSRF. Esto está cubierto en la Guía de prevención de OWASP CSRF . Se considera que un Captcha es una forma más fuerte de prevención de CSRF que una comprobación de token o de referencia porque no se puede omitir con XSS.