Может ли кто-то подтвердить это: нужно ли мне предоставить токен CSRF и Captcha в форме отправки или сделать две более или менее одинаковой функции (можно использовать вместо другой)?
Нужны ли оба токена csrf и captcha?
Ответ 1
Вместо токена CSRF можно использовать captcha. Это описано в Руководство по предотвращению CSRF OWASP. Captcha считается более сильной формой предотвращения CSRF, чем проверка токена или референта, потому что его нельзя обойти с помощью XSS.
Ответ 2
Да, я ошибся. Оба captcha и токена связаны сеансом.
Однако в этом вопросе я все еще не вижу смысла.
Вы не можете использовать CAPTCHA для каждой формы на сайте. Это заставит пользователей сходить с ума.
Таким образом, почему бы не иметь токен для каждой формы по умолчанию и CAPTCHA для выбранных?