Как получить доступ на локалке к своему удалённому серверу, если стоит защита от CSRF?

Question

[lil_web]

Я на локалке переписываю сайт с Джейквери на Реакт. Чтобы получать данные, делаю fetch-запрос на существующий сайт, но получаю ошибку: CSRF alert.

Что мне нужно сделать или попросить у заказчика, чтобы получить доступ?

Заказчик предлагает выделить мне страничку на сайте для запросов, но мне кажется, так будет менее удобно разрабатывать.

Подскажите, пожалуйста, как поступить.

Answer 1

[rPman]

CSRF это защита при работе с сайтом из браузера!
Если же вы работаете из вашего языка программирования, вашей платформы и т.п. то вы можете установить у запросов все необходимые куки и идентификатор сессии, которые возьмите из браузера, зайдя на оригинальный сайт.

Ну и общее - проблемы, которые создает вам сайт это проблемы заказчика, пусть он решает их так как ВАМ удобно.

Если честно я не вижу проблемы, решение я описал выше

Comments

[Алексей Ярков]

Только вот тут не запросы фиксить надо, а ответы )) Надо чтобы бэкенд принимающий запросы разрешил кроссдоменные запросы. Куки и хэдеры с клиента не спасут.

[lil_web]

Алексей Ярков, вы о CORS? Как в Access-Control-Allow-Origin указать локалку, просто localhost:3000?)

[Алексей Ярков]

lil_web, у вас есть доступ к бэкенду?

[rPman]

Алексей Ярков, вы не понимаете что такое Cross-Site-Request-Forgery

При выполнении CSRF атакущий имеет возможность передать запрос серверу с помощью браузера пользователя

Т.е. речь идет именно о том что запросы идут от браузера пользователя, где на атакуемый сайт уже заведены куки с сессией авторизации.

Так как топиккастеру нужно автоматическими средствами брать данные с сервера и заливать их на новый, идет классическая подделка запросов - заходим на сайт как легитимный пользователь в режиме логирования сетевых запросов (F11 - закладка network - start) смотрим какой запрос выполнился, нажимаем на нем правую кнопку и копируем в буфер готовую команду например curl с забитыми полями куками и реферером.

[Алексей Ярков]

rPman, посыпаю голову пеплом.
Я был невнимателен и решил, что речь именно о CORS. Сорян

[lil_web]

Алексей Ярков, могу попросить что-то изменить.

[lil_web]

rPman, нужные куки отправляются после того, как я добавил в axios withCredentials: true, но всё равно приходит CSRF alert. Может нужно, чтобы сервер установил Access-Control-Allow-Origin не в *, а строго в localhost:3000?

[rPman]

единственный способ определить сервером что вы послали не от туда - это заголовки, проверьте что вы указали правильный реферер например

правильный запрос смотрите в браузере, в инспекторе, когда зхаходите на сайт по нормальному адресу

ну и да, вам как я понимаю разработчик дал страницу где проверка не стоит. в чем проблема ее использовать?

[lil_web]

rPman, разве можно задать заголовок Referer в axios?

[rPman]

lil_web, а
Нет, а зачем вы из браузера это делаете? Вам же никто не мешает, если вы хотите писать на javascript, делать все на том же nodejs?

[lil_web]

rPman, мне нужно просто получить данные в приложение на Реакте.

[rPman]

lil_web, вот и делайте это не из браузера а из консольного приложения на nodejs если вы знаете только javascript.

[lil_web]

rPman, извините, мне нужно только из браузера с помощью fetch или axios.

[rPman]

это особенность уровня безопасности в браузерах, защищающая от сайтов злоумышленников, чтобы они не выполняли в тихушку скрытно запросы под вашим логином на сторонних сайтах.

С некоторыми оговорками, вы можете игнорируя CORS делать GET запросы но в любом случае для этого должа быть поддержка от разработчика вебсайта.

Так что селяви, только если вам это разрешить администратор

[lil_web]

rPman, что нужно попросить у администратора?

[rPman]

lil_web, мелочь, попросите выдать права на какой-нибудь домен, даже не существующий, для красоты пусть это будет какой-нибудь поддомен третьего уровня (кстати это можно проверить, может заработает без каких либо донастроек), типа devtest.mysite.com

Вы же в свою очередь прописываете локально в hosts (c:\windows\system32\drivers\etc\hosts открывать под администратором это текстовый файл) куда-нибудь строчку вида
127.0.0.1 devtest.mysite.com
и работаете локально уже не с localhost а с devtest.mysite.com (в некоторых случаях нужно в настройках вашего локального веб сервера прописать этот же devtest.mysite.com но обычно не требуется)

и работаете

[lil_web]

rPman, спасибо! А как это сделать на Маке?

[rPman]

lil_web, https://www.techjunkie.com/edit-hosts-file-mac-os-x/
как вы вообще умудрились стать программистом, если просто гуглить не умеете?

[lil_web]

rPman, спасибо, я только хочу им стать.

[lil_web]

rPman,

попросите выдать права на какой-нибудь домен, даже не существующий

Что конкретно нужно попросить у владельца домена? Какие права?

Вы же в свою очередь прописываете локально в hosts

То есть я потом буду писать yarn start и по http://localhost:3000/ мой запросы будут отправляться, как будто я на требуемом сайте?

[rPman]

заходить будете на devtest.mysite.com который будет ваш локальный сайт открывать

[lil_web]

rPman, спасибо. А какие права попросить у владельца сайта? Или просто сказать создать несуществующую страничку?

[rPman]

владелец должен добавить в настройки cors.txt что то типа этого:
Access-Control-Allow-Origin: devtest.mysite.com
вполне возможно что у него там уже стоит *.mysite.com (так делают если уже сайт мультидоменный) тогда ничего менять не понадобится.

[lil_web]

rPman, я решил проблему! У меня не получилось сделать, что вы предлагаете, но я пообщался с командой, и оказалось, что на сервере в файле разрешается доступ к АПИ для запросов со специальным Origin. Я попросил добавить определённый параметр с Referer, чтобы мог работать на локалке. Всё равно спасибо вам за помощь. Ура!