Не проверять csrf токен при ajax?

Question

WebDev @kirill-93

JavaScript

Не проверять csrf токен при ajax?

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?

Вопрос задан более трёх лет назад
138 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

Простой
Как сделать двойную сортировку значений в массиве?
- 1 подписчик
- 2 часа назад
- 38 просмотров
0

ответов
JavaScript

Средний
Как определить последующие теги с помощью js?
- 1 подписчик
- 5 часов назад
- 45 просмотров
0

ответов
JavaScript

+1 ещё

Простой
События click и touchstart странное поведение на мобильном, как решить?
- 1 подписчик
- 20 часов назад
- 28 просмотров
0

ответов
JavaScript

Простой
Стоит ли использовать lodash сейчас?
- 1 подписчик
- 20 часов назад
- 136 просмотров
1

ответ
JavaScript

Простой
Как сделать проверку на корректную вложенность в скобки ((([])){})?
- 2 подписчика
- 21 час назад
- 205 просмотров
1

ответ
JavaScript

Простой
Как на javascript преобразовать секунды в часы минуты сенуды?
- 1 подписчик
- 22 часа назад
- 72 просмотра
0

ответов
JavaScript

Простой
Как решить ошибку Uncaught TypeError: Cannot read properties of null (reading 'insertAdjacentHTML')?
- 1 подписчик
- вчера
- 47 просмотров
2

ответа
JavaScript

+2 ещё

Простой
Вся секция заежает за header?
- 1 подписчик
- вчера
- 95 просмотров
1

ответ
JavaScript

Простой
По какой логике bind принимает только первый контекст?
- 1 подписчик
- вчера
- 98 просмотров
2

ответа
JavaScript

+2 ещё

Средний
Возможно ли расположить или чтобы блок div мог заходить в прозрачный фон png фота?
- 1 подписчик
- вчера
- 38 просмотров
1

ответ
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

Middle JavaScript Developer

AppsTrain.io

от 80 000 до 180 000 ₽

100 лидов на сайт - нужен трафик

28 апр. 2024, в 15:00

100000 руб./за проект

Разработать сервер питон

28 апр. 2024, в 14:43

5000 руб./за проект

NodeJS реализации интерации двух сервисов и создания микро системы

28 апр. 2024, в 14:32

12000 руб./за проект

А что мешает всегда отдавать csrf токен при ajax? если вы о Django или другом фрэймворке который умеет кушать работать csrf куки https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax
RoxT: Зачем его отдавать, если ajax и так безопасен. Ведь никто не сможет отправить ajax запрос, если я с сервера не дам доступ ему?
kirill-93: а почему я не могу подделать заголовки? softwaremaniacs.org/blog/2007/09/12/http-ajax-%D0%... тут вроде подробненько расписано чем отличается ajax от не ajax

Answer 1 · 2016-04-04 17:04:42

Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post

Не проверять csrf токен при ajax?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт