@InstalatorP

Есть ли способ вернуть клиенту csrf токен в кастомном хедере, а не в set-cookie?

Задача:
Включить флаг Httponly для csrf куки, при этом клиент не сможет читать этот куки, как следствие механизм csrf будет сломан. Решение в моем понимании состоит в том, что бы сервер отсылал ответ с csrf токеном в каком то кастомном хедере, а клиент средствами axios будет читать этот хедер и при следующем запросе отсылать на сервер.

Будет ли работать такая схема? Если да, то был бы рад помощи в реализации, ибо на просторах тырнета ни нашел реализации подобной схемы.

И вообще, на сколько такой финт ушами полезен с точки зрения безопасности при условии, что весть трафик осуществляется по https.

На клиенте React и Axios
На сервере Express и csurf.
  • Вопрос задан
  • 9 просмотров
Решения вопроса 1
@InstalatorP Автор вопроса
Задача решена, после добавления кастом хедера надо перехватить ответ в axios, сохранить в сторонке, а потом положить значение в config.headers перед отсылкой на сервер:
5f7b31651abad253835075.png
П.С.:
Что бы добавить кастом хедер надо делать так, иначе не сработает:
5f7b30767e0eb161707753.png
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы