Как должен работать csrf_token?

Question

[Виталий]

Здравствуйте, возник вопрос по работе csrf_token . Как я понял, он должен обеспечивать защиту при отправке формы для POST запросов.

На скрине видно, что он "скрывает" реальные имена форм при отправке, а ниже выдает их.
Это корректная отработка csrf_token или должно быть полное скрытие?

Answer 1

[Алексей Уколов]

CSRF-токен ничего не скрывает и ничего не выдает. Это просто строка, по которой сервер определяет, что пользователь действительно запросил выполнение этого действия.
Он используется для того, чтобы на другом сайте нельзя было встроить вашу форму под видом чего-то другого.

Comments

[Виталий]

Спасибо, но странно, что при изымании данной сроки пропадает и выделенный на скрине HTML код (там где имя буквоцифры). Думал может еще и скрывает в коде, какие имена используются для передачи

[Алексей Уколов]

Виталий: ну так буквоцифры - это и есть токен.

[Виталий]

Алексей Уколов: Это было понятно, казалось, что он еще должен и скрывать оригинальные значения. Спасибо, за ответ