Не проверять csrf токен при ajax?

Question

WebDev @kirill-93

JavaScript

Не проверять csrf токен при ajax?

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?

Вопрос задан более трёх лет назад
140 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

Помогут разобраться в теме Все курсы

Нетология

Fullstack-разработчик на Python + нейросети

20 месяцев

Далее
Skillfactory

Профессия Веб-разработчик

12 месяцев

Далее
Яндекс Практикум

Фронтенд-разработчик

10 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JavaScript

Простой
В цикле for много кнопок как сделать .addEventListener('click', к каждой кнопке?
- 1 подписчик
- 16 нояб.
- 204 просмотра
3

ответа
JavaScript

+2 ещё

Простой
Как получить события VK.VideoPlayer используя JS?
- 1 подписчик
- 11 нояб.
- 124 просмотра
1

ответ
JavaScript

+1 ещё

Сложный
Почему зависает виджет в OBS?
- 1 подписчик
- 10 нояб.
- 167 просмотров
0

ответов
JavaScript

Простой
Смещение группы в fabric.js?
- 1 подписчик
- 06 нояб.
- 132 просмотра
0

ответов
JavaScript

+2 ещё

Простой
Как сделать горизонтальный скролл стрелками?
- 1 подписчик
- 05 нояб.
- 233 просмотра
1

ответ
JavaScript

Простой
Как создать рисунок из PHP в Fabric.js?
- 2 подписчика
- 28 окт.
- 175 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Какой скрипт загружает меню в Ютуб?
- 2 подписчика
- 27 окт.
- 299 просмотров
2

ответа
JavaScript

Простой
Как работать с разрозненными данными?
- 1 подписчик
- 21 окт.
- 254 просмотра
2

ответа
JavaScript

+1 ещё

Простой
Неправильно работает crypto.subtle.deriveKey в Firefox, баг или мой косяк?
- 2 подписчика
- 16 окт.
- 154 просмотра
0

ответов
JavaScript

Простой
Как подгружать xml с перерисовкой таблицы?
- 3 подписчика
- 14 окт.
- 211 просмотров
1

ответ
Показать ещё Загружается…

Fullstack Разработчик (Next.js / JavaScript / TypeScript)

App Company

от 200 000 до 300 000 ₽

Web-разработчик/WordPress программист (Full-stack)

JustBusiness • Санкт-Петербург

от 130 000 до 150 000 ₽

React разработчик

ITK academy • Нижний Новгород

от 50 000 до 90 000 ₽

А что мешает всегда отдавать csrf токен при ajax? если вы о Django или другом фрэймворке который умеет кушать работать csrf куки https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax
RoxT: Зачем его отдавать, если ajax и так безопасен. Ведь никто не сможет отправить ajax запрос, если я с сервера не дам доступ ему?
kirill-93: а почему я не могу подделать заголовки? softwaremaniacs.org/blog/2007/09/12/http-ajax-%D0%... тут вроде подробненько расписано чем отличается ajax от не ajax

Answer 1 · 2016-04-04 17:04:42

Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post

Не проверять csrf токен при ajax?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт