问谷歌2能阻止CSRF攻击吗？

EN

正如OWASP备忘表所提到的，CAPTCHA可以用作击败CSRF的方法。

但是你让我思考。也许，如果攻击者将对谷歌敲击小部件的Recaptcha2攻击与Recaptcha2保护的页面上的CSRF攻击相结合，以进行CSRF防御，那么这可能对攻击者有利。

更新：

考虑到这一点之后，Recaptcha2的工作方式是返回一个由私钥签名的值，该值可以在服务器端进行检查。这就要求点击当前表单上显示的CAPTCHA，即使没有什么需要解决的问题。因此，Recapcha2应防御CSRF。但是，请确保您的主机页也有敲击的保护。

Captcha代表蛮力攻击，但是的，它也可以防止CSRF攻击。由于攻击无法知道哪些是正确的captcha值，因此无法用有效的captcha值填充表单。

因为可用性很重要，所以您不能要求用户解决每个请求的上限问题。因此，默认情况下，从框架中使用csrf_token机制。