Страницы

Поиск по вопросам

вторник, 7 апреля 2020 г.

CSRF-токен в куках

#php #алгоритм #cookie #защита #csrf

                    
почему некоторые сайты хранят CSRF-токен в куках?

Ведь если отправить, к примеру, GET-запрос - 


Ответы

Ответ 1



Само по себе это действительно бесполезно, если сервер помнит соответствие токен-пользователь и проверяет только его. Но в сочетании с передачей такого же токена в параметрах это становится быстрым и простым способом защиты от CSRF: вы ставите пользователю в куки совершенно случайный токен и проверяете, что в параметрах запроса впоследствии приходит точно такой же. Проверяется соответствие запрос-кука. Потенциальный атакующий не сможет достать его из-за Same Origin Policy (можно ещё досыпать сверху HttpOnly, чтобы не получить дыр из-за JS), а потому не сможет его продублировать в запросе. И нет необходимости запоминать что-либо на сервере.

Комментариев нет:

Отправить комментарий