Задать вопрос
@redya69

Csrf атаки. Anti-csrf token — панацея?

Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.

Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.

С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
  • Вопрос задан
  • 2845 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
SagePtr
@SagePtr
Еда - это святое
Потому что можно отправить форму на другой сайт, но нельзя прочитать, какие именно данные были возвращены этой формой, и вообще нельзя произвольные данные с другого сайта загрузить и прочитать. Конечно, если вы разрешите ajax с любого origin, то злоумышленник легко сможет выполнить и прочитать токен.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы