Не проверять csrf токен при ajax?

Question

WebDev @kirill-93

JavaScript

Не проверять csrf токен при ajax?

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?

Вопрос задан более трёх лет назад
139 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JavaScript

Простой
Как найти и сгруппировать элементы с одинаковым классом?
- 1 подписчик
- 9 часов назад
- 59 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Как скроллить определенный блок Div?
- 1 подписчик
- 11 часов назад
- 96 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Как написать текст на окружности и посчитать точки?
- 1 подписчик
- 23 часа назад
- 80 просмотров
0

ответов
JavaScript

Средний
Как остановить весь скрипт js при выполнении условия tampermonkey?
- 1 подписчик
- вчера
- 79 просмотров
2

ответа
JavaScript

Средний
.stopPropagation() на самом деле не останавливает распространение события?
- 1 подписчик
- вчера
- 109 просмотров
1

ответ
JavaScript

Простой
Нужно ли проверять импорт модуля js на повторную загрузку?
- 1 подписчик
- вчера
- 55 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему у меня не может найти URL_TO_BOT?
- 1 подписчик
- вчера
- 53 просмотра
0

ответов
JavaScript

+3 ещё

Простой
Как отключить swiper-bundle.min.css?
- 1 подписчик
- 25 дек.
- 61 просмотр
2

ответа
JavaScript

Простой
Почему не правильно срабатывает условие в цикле?
- 1 подписчик
- 25 дек.
- 102 просмотра
0

ответов
JavaScript

+2 ещё

Средний
Расскажите про паттерны работы с GraphQL?
- 7 подписчиков
- 25 дек.
- 1584 просмотра
1

ответ
Показать ещё Загружается…

JavaScript FullStack разработчик

Rocket • Смоленск

от 80 000 до 130 000 ₽

Fullstack-разработчик PHP/JavaScript

LegalIndonesia

от 3 000 до 3 000 $

Бэкэнд-разработчик JavaScript

Wanted. • Москва

от 250 000 до 400 000 ₽

Парсер товаров с приложения

27 дек. 2024, в 21:04

35000 руб./за проект

Доверстать лендинг. Оплату поставил примерную. Договоримся

27 дек. 2024, в 20:52

7000 руб./за проект

Сделать анимацию и создать иллюстрации для интерактивных уроков

27 дек. 2024, в 20:00

50000 руб./за проект

А что мешает всегда отдавать csrf токен при ajax? если вы о Django или другом фрэймворке который умеет кушать работать csrf куки https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax
RoxT: Зачем его отдавать, если ajax и так безопасен. Ведь никто не сможет отправить ajax запрос, если я с сервера не дам доступ ему?
kirill-93: а почему я не могу подделать заголовки? softwaremaniacs.org/blog/2007/09/12/http-ajax-%D0%... тут вроде подробненько расписано чем отличается ajax от не ajax

Answer 1 · 2016-04-04 17:04:42

Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post

Не проверять csrf токен при ajax?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт