#php #алгоритм #cookie #защита #csrf
почему некоторые сайты хранят CSRF-токен в куках?
Ведь если отправить, к примеру, GET-запрос - 
Ответы
Ответ 1
Само по себе это действительно бесполезно, если сервер помнит соответствие токен-пользователь
и проверяет только его.
Но в сочетании с передачей такого же токена в параметрах это становится быстрым и
простым способом защиты от CSRF: вы ставите пользователю в куки совершенно случайный
токен и проверяете, что в параметрах запроса впоследствии приходит точно такой же.
Проверяется соответствие запрос-кука.
Потенциальный атакующий не сможет достать его из-за Same Origin Policy (можно ещё
досыпать сверху HttpOnly, чтобы не получить дыр из-за JS), а потому не сможет его продублировать
в запросе. И нет необходимости запоминать что-либо на сервере.
Комментариев нет:
Отправить комментарий