Google Re-Captcha 2可以阻止CSRF攻击吗？

跨站点请求伪造攻击会在受害者的会话上进行，以将恶意请求提交到受信任的站点。 Cheat Sheet here将CAPTCHA描述为防止CSRF攻击的好方法。

据我们所知，Google Re-Captcha可以有效防止垃圾邮件。在具有相同IP地址的位置多次单击后，需要人工解决图片难题。由于前几次尝试只是“免费”，黑客是否有可能通过在前几次尝试中单击Re-Captcha图来绕过它？

6
投票

如OWASP速查表所述，CAPTCHA可以用作击败CSRF的一种方法。

但是，您让我开始思考。也许，如果攻击者将对Google Recaptcha2小部件的Clickjacking攻击与对受Recaptcha2保护的页面进行CSRF防御的CSRF攻击的后续行动结合起来，那么也许这可能对攻击者有利。

更新：

考虑了这一点，Recaptcha2的工作方式是返回一个由私钥签名的值，该值可以在服务器端检查。这要求单击当前表单上显示的CAPTCHA，即使没有任何要解决的问题。因此，Recapcha2应该防御CSRF。但是，请确保您的托管页面也受到Clickjacking的保护。

1
投票

Captcha代表暴力攻击，但是，它也可以防止CSRF攻击。由于攻击无法知道正确的验证码值，因此无法用有效的验证码值填写表格。

0
投票

我有一个8号角表单，提交后它将调用Web api调用，以将数据保存到db我确实有Google Recaptcha v3，所以我从客户端发送的令牌已在服务器端得到验证因此，此实现可以防止卡攻击，我是否仍需要在表单中处理csrf攻击？在此先感谢