Нужно ли включать CSRF для SPA сайта?

Question

[syndarva]

Добрый день. Имеется фронт на Vue + Nuxt и бэк на Laravel. В качестве защиты бэка стоит Sanctum. Часть POST запросов требует авторизации, часть нет. Нужно ли ставить CSRF токен для всех запросов или же Sanctum достаточно защищает пользователей?
Важный комментарий: Laravel Blade не использую.

Comments

[Сергей delphinpro]

Важный комментарий: Laravel Mix не использую.

Важный ответ: Он здесь вообще не при делах. Это просто сборщик. ПРОСТО СБОРЩИК!

[Сергей delphinpro]

Нужно ли ставить CSRF токен для всех запросов

Начните с ответа на то, что такое этот токен. Кто и когда его ставит.

Не подумайте, что я подкалываю. Просто. если вы не понимаете сути, вы не обеспечите безопасность. По советам из интернета вы сделаете, а где гарантия правильности, если вы даже не знаете что есть что.

[syndarva]

Сергей delphinpro, немного перепутал с Blade. Заработался.
Как я понимаю, CSRF-токены ставят для того, чтобы злоумышленники не могли выполнять запросы от лица пользователей, залогиненных на нашем сайте (как пример).

[Just Me]

вообще-то sanctum предполагает сначала запрос на получение csrf токена

Answer 1

[Владислав Лысков]

Нет
UPD: пробегись по коментам к этому вопросу Laravel + Nuxt: Как победить ошибку 419 — CSRF token mismatch?

Answer 2

[gomerIT]

Нету куков - нету csrf.

Answer 3

[Speakermen]

Думаю что да посмотрю ответы более опытных так-как я кодер. На laracaste Laravel Authentication (Breeze, Jetstream, Fortify) используют для spa . Там отдельно запущен проект на vue и laravel на разных портах О хранении JWT токенов в браузерах