Есть ли способ вернуть клиенту csrf токен в кастомном хедере, а не в set-cookie?
Задача:
Включить флаг Httponly для csrf куки, при этом клиент не сможет читать этот куки, как следствие механизм csrf будет сломан. Решение в моем понимании состоит в том, что бы сервер отсылал ответ с csrf токеном в каком то кастомном хедере, а клиент средствами axios будет читать этот хедер и при следующем запросе отсылать на сервер.
Будет ли работать такая схема? Если да, то был бы рад помощи в реализации, ибо на просторах тырнета ни нашел реализации подобной схемы.
И вообще, на сколько такой финт ушами полезен с точки зрения безопасности при условии, что весть трафик осуществляется по https.
На клиенте React и Axios
На сервере Express и csurf.
Задача решена, после добавления кастом хедера надо перехватить ответ в axios, сохранить в сторонке, а потом положить значение в config.headers перед отсылкой на сервер:
П.С.:
Что бы добавить кастом хедер надо делать так, иначе не сработает:
Простой
Простой
