Задать вопрос
Polish_Flamethrower
@Polish_Flamethrower
Польский флэймзровер

По поводу CSRF токенов?

Пацаны, такой вопрос: столкнулся с такой хернёй, как CRSF-токены. Как они вообще могут помочь, если они хранятся тоже в файлах cookie => они отправляются вместе с куками авторизации?
  • Вопрос задан
  • 120 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 2
DevMan
@DevMan
они не хранятся в куках, а уникальны либо для страницы в целом, либо для конкретной формы.

если где-то они в куках - это свидетельствует об оленях.
Ответ написан
Комментировать
SagePtr
@SagePtr
Еда - это святое
CSRF-атака направлена на то, что злоумышленник заставляет браузер пользователя отправить поддельный запрос на сайт. Вслепую, не зная, что конкретно находится у него в куках. Потому CSRF-токен должен отправляться отдельно от кук, в одном из полей формы. Но если копия CSRF-токена попадёт в куки, опасным это не будет, потому как злоумышленник не имеет доступа к чтению куки (если не получит их другой атакой вроде XSS, либо если на сайте нет TLS и все данные ходят кишками наружу) - может заставить браузер отправить их вместе с формой, но не прочитать их содержимое и не изменить.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Noizefan
@Noizefan
нормальному парсеру они не страшны! они защищают от школьников
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы