前提:这里仅对token对防暴力破解的意义进行讨论,不涉及到其他防暴力破解措施,比如验证码等。
看到很多文章都说加token可以防止暴力破解,但并没有说为什么。
据小弟的认识,给表单加token (type=“hidden”)后,这个token不管算法多厉害,但是总归会在前端源码中输出,暴力破解者仍然可以在提交认证前获取它,因此token是不是就失去了防暴力的意义了?
如果可以防止,又是什么逻辑呢? 麻烦哪位英雄指点一二。谢谢。
表单token的作用是防止重复提交和CSRF,你的思路没错,破解方只要获取到输出到token值直接提交就可以了。防暴力破解应该理解成防止自动化脚步快速请求以达到破解的目的,所以验证码类防爆破是目前的主流。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。