软考题库
信息安全工程师 · 高频练习

CSRF 攻击为什么常用 Token 来防护?

中级 单选题 第 120 题 中等 信息安全工程师CSRFWeb安全Token
内容整理:软考题库编辑部 最近更新:
题目

用户已经登录某网站,攻击者诱导用户访问恶意页面,试图借用户浏览器携带的登录态向原网站提交转账请求。为了降低这类 CSRF 风险,网站较常用的措施是()。

A 在关键请求中加入服务器生成并校验的 CSRF Token
B 把所有用户密码写在页面源码里
C 关闭所有日志审计
D 让任何第三方页面都能直接提交关键操作
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
正确答案
A
答案解析

CSRF 的关键在于攻击者借助用户已登录状态伪造请求。CSRF Token 由服务端生成并与用户会话或页面绑定,攻击者通常无法预测或读取该 Token。服务端校验 Token 后,可以区分正常页面发起的请求和跨站伪造请求。

选项分析

A

正确。CSRF Token 是防护跨站请求伪造的常见措施。

B

错误。公开密码会造成严重泄露。

C

错误。日志审计有助于发现和追踪异常请求。

D

错误。关键操作应限制和校验请求来源及合法性。

本题为什么容易错

很多同学把 CSRF 和 XSS 混在一起。XSS 是让脚本在用户页面里执行,CSRF 是借用户登录态伪造请求,防护重点不一样。

先看结论

简短答案

CSRF 攻击为什么常用 Token 来防护,正确答案是 A(在关键请求中加入服务器生成并校验的 CSRF Token)。CSRF 的关键在于攻击者借助用户已登录状态伪造请求。CSRF Token 由服务端生成并与用户会话或页面绑定,攻击者通常无法预测或读取该 Token。服务端校验 Token 后,可以区分正常页面发起的请求和跨站伪造请求。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
在关键请求中加入服务器生成并校验的 CSRF Token 本题正确答案 正确。CSRF Token 是防护跨站请求伪造的常见措施。 看到题干核心场景时优先联想到它
把所有用户密码写在页面源码里 本题干扰项 错误。公开密码会造成严重泄露。 看到该词不要急着选,先判断是否真正解决题干问题
关闭所有日志审计 本题干扰项 错误。日志审计有助于发现和追踪异常请求。 看到该词不要急着选,先判断是否真正解决题干问题
让任何第三方页面都能直接提交关键操作 本题干扰项 错误。关键操作应限制和校验请求来源及合法性。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 把所有用户密码写在页面源码里:错误。公开密码会造成严重泄露。
  • 关闭所有日志审计:错误。日志审计有助于发现和追踪异常请求。
  • 让任何第三方页面都能直接提交关键操作:错误。关键操作应限制和校验请求来源及合法性。
复习

知识点详解

CSRF是信息安全工程师考试中需要结合场景理解的考点。围绕“CSRF 攻击为什么常用 Token 来防护”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“用户已经登录某网站,攻击者诱导用户访问恶意页面,试图借用户浏览器携带的登录态向原网站提交转账请求。为了降低这类 CSRF 风险,网站较常用的措施是()”,它指向的核心答案是 A(在关键请求中加入服务器生成并校验的 CSRF Token)。

备考速记

备考速记:题干如果强调“Token”中的关键目标,就先联想到 CSRF;如果选项里出现 把所有用户密码写在页面源码里、关闭所有日志审计、让任何第三方页面都能直接提交关键操作,不要只看名称熟悉,要判断它们是否真正对应题干场景。

CSRF 在Token场景中的作用

CSRF在本题中的核心价值,是解决“用户已经登录某网站,攻击者诱导用户访问恶意页面,试图借用户浏览器携带的登录态向原网站提交转账请求。为了降低这类 CSRF 风险,网站较常用的措施是()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出Token场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查CSRF的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把CSRF和把所有用户密码写在页面源码里、关闭所有日志审计、让任何第三方页面都能直接提交关键操作放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
CSRF 在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把CSRF放到Token场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干里最关键的是“用户已登录”和“恶意页面借浏览器提交请求”。这不是数据库语句被拼接的问题,也不是脚本注入执行的问题,而是跨站请求伪造。Token 校验能让攻击者难以伪造合法请求。

考点定位

Web 安全题要分清 XSS、CSRF、SQL 注入。CSRF 重点是伪造用户已登录请求,防护常见思路包括 CSRF Token、SameSite Cookie、Referer/Origin 校验等。

易错提醒

  • CSRF 利用的是用户已登录状态下浏览器自动携带凭据。
  • 关键操作应使用不可预测的 Token 或其他来源校验。
  • 不要把 CSRF Token 当成验证码,它是请求合法性校验的一部分。

备考提示

  • 复习 Web 安全时,把 XSS、CSRF、SQL 注入按攻击入口和防护手段分开记。
  • 看到“诱导已登录用户提交请求”,优先想到 CSRF。

你可能还想了解

  • CSRF 攻击为什么常用 Token 来防护?
  • CSRF是什么?
  • CSRF在信息安全工程师考试中怎么考?
  • 信息安全工程师CSRF题怎么理解?
  • CSRF Token 为什么能防护怎么考?
  • CSRF攻击原理怎么考?

本文小结

本题核心考点是CSRF在Token场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(在关键请求中加入服务器生成并校验的 CSRF Token)。