как генерировать и проверять токены csrf
каков наилучший способ генерации токена csrf и проверки. Из того, что я смог собрать, даже если у вас есть скрытое поле формы в форме "post", хакер может просто получить эту форму с помощью ajax, взять токен csrf и отправить другой запрос на сайт для отправки формы.
и если мы должны проверить заголовки, отправленные нам... затем хакер может просто отправить токен csrf на серверный скрипт, который затем эмулирует заголовки http.
Так как фактически генерировать и проверять токены csrf?
1 ответов
все защиты CSRF на основе токенов могут быть побеждены с помощью XSS, что вы, похоже, "смогли собрать". Это будет хорошее чтение для вас: OWASP на CSRF