Задать вопрос
@kirill-93
javascript

Не проверять csrf токен при ajax?

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?
  • Вопрос задан
  • 142 просмотра
4 комментария
Подписаться 1 Оценить 4 комментария
Помогут разобраться в теме Все курсы
  • Нетология
    Веб-разработчик с нуля: профессия с выбором специализации
    14 месяцев
    Далее
  • Академия Эдюсон
    Fullstack-разработчик на JavaScript + ИИ
    11 месяцев
    Далее
  • ProductStar × РБК
    Профессия: Инженер по тестированию
    6 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 1
@korotkin
Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы