Задать вопрос
@redya69
защита-от-взлома

Csrf атаки. Anti-csrf token — панацея?

Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.

Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.

С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
  • Вопрос задан
  • 2847 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Помогут разобраться в теме Все курсы
  • Ulearn.me
    Основы компьютерной безопасности
    1 неделя
    Далее
  • ITCOM Academy
    Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (согласовано ФСТЭК России)
    2 недели
    Далее
  • ITCOM Academy
    Обеспечение безопасности значимых объектов критической информационной инфраструктуры
    1 месяц
    Далее
Решения вопроса 1
SagePtr
@SagePtr
Еда - это святое
Потому что можно отправить форму на другой сайт, но нельзя прочитать, какие именно данные были возвращены этой формой, и вообще нельзя произвольные данные с другого сайта загрузить и прочитать. Конечно, если вы разрешите ajax с любого origin, то злоумышленник легко сможет выполнить и прочитать токен.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Стажер по наполнению контентом интернет-магазинов
Emilius Agency
от 5 000 ₽
Flutter Developer
DevTeam.Space
от 1 500 до 3 000 $
Linux Systems Engineer (Asterisk/SIP)
IT ATLAS Москва
от 200 000 ₽
Ещё вакансии