#php #алгоритм #cookie #защита #csrf
почему некоторые сайты хранят CSRF-токен в куках? Ведь если отправить, к примеру, GET-запрос -Ответы
Ответ 1
Само по себе это действительно бесполезно, если сервер помнит соответствие токен-пользователь и проверяет только его. Но в сочетании с передачей такого же токена в параметрах это становится быстрым и простым способом защиты от CSRF: вы ставите пользователю в куки совершенно случайный токен и проверяете, что в параметрах запроса впоследствии приходит точно такой же. Проверяется соответствие запрос-кука. Потенциальный атакующий не сможет достать его из-за Same Origin Policy (можно ещё досыпать сверху HttpOnly, чтобы не получить дыр из-за JS), а потому не сможет его продублировать в запросе. И нет необходимости запоминать что-либо на сервере.
Комментариев нет:
Отправить комментарий