Как менять csrf токен после ajax запросов?

Question

[myspace]

Токен меняется после каждого запроса или обновления страницы. Ложится он в метатег при загрузке страницы(генерируется на сервере). В js файле беру содержимое этого метатега с токеном и отправляю в ajax запросе. Получается после каждого ajax запроса через js подгружать новый токен и подменять содержимое метатега?

Answer 1

[asdz]

Обменивайтесь токеном через куки. С сервера - обновляйте, а с клиента сам придет.

Comments

[myspace]

получается формировать запросы так

var form = serialize(loginForm); // serialize() returns string with names of form inputs
    form += "&csrf-token="+get_cookie('csrf-token'); //add to the serialize-string a value of the csrf token

[asdz]

myspace: Зачем? Кука и так придет на сервер в http запросе, https://developer.mozilla.org/ru/docs/Web/HTTP/Cookies: "Now, with every new request to the server, the browser will send back all previously stored cookies to the server using the Cookie header."

Answer 2

[Юрий Гринёв]

Именно так.

Comments

[myspace]

но тогда придется тем же ajax выдергивать свежий токен с сервера, например в json формате. И любой злоумышленик сможет этим куском js выдернуть нужный токен.