Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.
Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.
С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
Потому что можно отправить форму на другой сайт, но нельзя прочитать, какие именно данные были возвращены этой формой, и вообще нельзя произвольные данные с другого сайта загрузить и прочитать. Конечно, если вы разрешите ajax с любого origin, то злоумышленник легко сможет выполнить и прочитать токен.
Простой
Средний
