Задать вопрос
cot_shaurma
@cot_shaurma
Java и всего понемногу

Как работает CSRF?

Что-то не вполне понимаю CSRF защиту. То есть суть защиты в том, что у нас есть дополнительный токен, который мы отправляем на сервер при каждом запросе. Вот у меня два вопроса:

1. Для отправки запросов на сервер мы встраиваем в форму CSRF-токен. Что мешает злоумышленнику сделать точно такую же форму, в которую точно так же будет подставляться CSRF-токен из наших кук?

2. Как мы делаем самый первый запрос к серверу (аутентификация), если CSRF-токена у нас ещё нет? Или аутентификацию разрешается без этого токена делать?
  • Вопрос задан
  • 292 просмотра
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
IonDen
@IonDen
JavaScript developer. IonDen.com
CSRF токен каждый раз разный. Сайт загрузился, в форму подставился свеженький. Но если вы его скопируете и попробуете использовать из другого места - то он тут же протухнет.
Ответ написан
delphinpro
@delphinpro
frontend developer
Здесь всё прочитали и уяснили? https://learn.javascript.ru/csrf
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы