как генерировать и проверять токены csrf

каков наилучший способ генерации токена csrf и проверки. Из того, что я смог собрать, даже если у вас есть скрытое поле формы в форме "post", хакер может просто получить эту форму с помощью ajax, взять токен csrf и отправить другой запрос на сайт для отправки формы.

и если мы должны проверить заголовки, отправленные нам... затем хакер может просто отправить токен csrf на серверный скрипт, который затем эмулирует заголовки http.

Так как фактически генерировать и проверять токены csrf?

1 ответов


все защиты CSRF на основе токенов могут быть побеждены с помощью XSS, что вы, похоже, "смогли собрать". Это будет хорошее чтение для вас: OWASP на CSRF