Задать вопрос
@redya69
защита-от-взлома

Csrf атаки. Anti-csrf token — панацея?

Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.

Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.

С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
  • Вопрос задан
  • 2842 просмотра
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 1
SagePtr
@SagePtr
Еда - это святое
Потому что можно отправить форму на другой сайт, но нельзя прочитать, какие именно данные были возвращены этой формой, и вообще нельзя произвольные данные с другого сайта загрузить и прочитать. Конечно, если вы разрешите ajax с любого origin, то злоумышленник легко сможет выполнить и прочитать токен.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий инженер по информационной безопасности
Интер РАО – Управление сервисами Сочи
от 84 000 до 93 000 ₽
Системный аналитик (Банковский проект)
Bell Integrator Ростов-на-Дону
от 240 000 до 320 000 ₽
Golang developer (Synapse)
СберТех Москва
До 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
HFT программист C#/C++
12 мая 2024, в 00:31
200000 руб./за проект
Разработать приложение WPF на С# для работы с базой данных
11 мая 2024, в 23:57
1000 руб./за проект
Доработка/Разработка OpenCart интернет-магазина
11 мая 2024, в 23:03
1000 руб./за проект
Ещё заказы