Как работает CSRF?

Question

[Eugenue Cesarevich]

Что-то не вполне понимаю CSRF защиту. То есть суть защиты в том, что у нас есть дополнительный токен, который мы отправляем на сервер при каждом запросе. Вот у меня два вопроса:

1. Для отправки запросов на сервер мы встраиваем в форму CSRF-токен. Что мешает злоумышленнику сделать точно такую же форму, в которую точно так же будет подставляться CSRF-токен из наших кук?

2. Как мы делаем самый первый запрос к серверу (аутентификация), если CSRF-токена у нас ещё нет? Или аутентификацию разрешается без этого токена делать?

Comments

[twobomb]

learn.javascript.ru/csrf

Answer 1

[Денис Инешин]

CSRF токен каждый раз разный. Сайт загрузился, в форму подставился свеженький. Но если вы его скопируете и попробуете использовать из другого места - то он тут же протухнет.

Comments

[twobomb]

Не протухнет, у него нет срока годности, ну точнее пока сессия существует он будет жить, или даже пока будут создаваться сессии с ключем с которым он генерился. Другое что когда вы делаете запрос из другого места то создается другая сессия с другим ключом и ваш запрос будет отвергнут.
Если сайт определит что это та же сессия в которой он генерил ключ то всё примет.

[Eugenue Cesarevich]

Так, ну про обновление токена понял... Да, действительно обновляется... Ну вот всё-таки не пойму. Смотрите, я использую React и axios и вот у меня вытаскивается токен (я токен через хедеры передаю):

const authRequester = axios.create({
    baseURL: 'http://localhost:8080/',
    withCredentials: true
});

login(email, password, remember = false) {
    let bodyFormData = new FormData();
    bodyFormData.append('email', email);
    bodyFormData.append('password', password);
    bodyFormData.append('remember', String(remember));
    return authRequester.post('login', bodyFormData, {
        headers: {
            'Content-Type': 'multipart/form-data',
            'X-XSRF-TOKEN': getXSRFToken()
        }
    });
}

/* Return XSRF-token for request creating */
const getXSRFToken = () => {
    return Cookies.get('XSRF-TOKEN');
}

Злоумышленник ведь может сделать абсолютно то же самое, что ему мешает?

[Eugenue Cesarevich]

Ну и по второму вопросу не понимаю. Получается, первый запрос я делаю без токена?

[Dimonchik]

Eugenue Cesarevich, так стань злоумышленником

Postman в помощь

Answer 2

[Сергей delphinpro]

Здесь всё прочитали и уяснили? https://learn.javascript.ru/csrf