Не проверять csrf токен при ajax?

Question

WebDev @kirill-93

JavaScript

Не проверять csrf токен при ajax?

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?

Вопрос задан более трёх лет назад
142 просмотра

4 комментария

Подписаться 1 Оценить 4 комментария

Помогут разобраться в теме Все курсы

Нетология

Веб-разработчик с нуля: профессия с выбором специализации

14 месяцев

Далее
Яндекс Практикум

Фронтенд-разработчик расширенный

13 месяцев

Далее
Skillbox

JavaScript

3 месяца

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JavaScript

Простой
Как избежать в выводе 5?
- 1 подписчик
- 30 мар.
- 250 просмотров
1

ответ
JavaScript

Простой
Как правильно просчитывать?
- 1 подписчик
- 28 мар.
- 230 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Авторизация вконтакте как настроить?
- 2 подписчика
- 26 мар.
- 232 просмотра
1

ответ
JavaScript

Простой
Как получить доступ к iframe grafana?
- 1 подписчик
- 25 мар.
- 123 просмотра
1

ответ
JavaScript

+1 ещё

Средний
Почему возникает проблема с воспроизведением hls в chrome?
- 1 подписчик
- 20 мар.
- 139 просмотров
0

ответов
JavaScript

+2 ещё

Средний
Как сделать слайдер как на сайте apple.com?
- 3 подписчика
- 17 мар.
- 564 просмотра
2

ответа
JavaScript

+2 ещё

Простой
Почему не получается изменить размер изображений?
- 1 подписчик
- 16 мар.
- 220 просмотров
2

ответа
JavaScript

+1 ещё

Средний
Оптимизация страницы с 50+ видео-iframe — нативного lazy loading недостаточно. Что посоветуете?
- 2 подписчика
- 16 мар.
- 272 просмотра
2

ответа
JavaScript

+2 ещё

Простой
Как быть если ломается сайт, в зависимости от браузера?
- 1 подписчик
- 05 мар.
- 504 просмотра
1

ответ
JavaScript

Простой
Как оптимально реализовать вкладки?
- 2 подписчика
- 03 мар.
- 353 просмотра
5

ответов
Показать ещё Загружается…

Fullstack developer (PHP / Javascript)

Qwintry

от 1 500 до 2 500 $

Frontend-разработчик (vanilla JS, high-load)

Karma8

от 200 000 ₽

Мобильный разработчик (React Native / Capacitor)

App Company

от 200 000 до 300 000 ₽

А что мешает всегда отдавать csrf токен при ajax? если вы о Django или другом фрэймворке который умеет кушать работать csrf куки https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax
RoxT: Зачем его отдавать, если ajax и так безопасен. Ведь никто не сможет отправить ajax запрос, если я с сервера не дам доступ ему?
kirill-93: а почему я не могу подделать заголовки? softwaremaniacs.org/blog/2007/09/12/http-ajax-%D0%... тут вроде подробненько расписано чем отличается ajax от не ajax

Answer 1 · 2016-04-04 17:04:42

Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post

Не проверять csrf токен при ajax?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт