Javascript-форум (https://javascript.ru/forum/)
-   Общие вопросы Javascript (https://javascript.ru/forum/misc/)
-   -   2 способа защиты от csrf (https://javascript.ru/forum/misc/74470-2-sposoba-zashhity-ot-csrf.html)

zlodiak 14.07.2018 21:33
2 способа защиты от csrf
 
я не совсем понимаю зачем в статьях так замороченно описывают защиту от csrf. ниже я опишу очень простой сопсоб, а вы пожалуйста скажите в чём я не прав:

токены не использовать, а сервер будет проверять только атворизационную куку и заголовок origin (или referer). таким образом пользоваться сайтом смогут все пользователи кроме тех что зашли в анонимном режиме хрома или другим извращённым способом. но таких мало

если сервер видит, что в пришедшем запросе установлен разрешённый origin (referer) и прикреплено верное значение авторизационной куки, то значение формы обрабатывается

Alexandroppolus 15.07.2018 16:15
zlodiak,
Referer давно рассматривался как способ, но был признан неправильным. Вот, например:
https://intsystem.org/security/strip...r-in-redirect/

laimas 15.07.2018 16:58
zlodiak, если учесть, что сервер (атакующий может его использовать) позволяет подделать referer, то он не может быть "гарантированной защитой". А вообще все гораздо серьезнее, ведь эксплуатируются не только страница/браузер, но различные уязвимости, которые увы есть и всегда будут.

https://xakep.ru/2011/10/31/57627/
https://xakep.ru/2006/10/20/34592/
https://xakep.ru/2008/03/13/42758/
...


Часовой пояс GMT +3, время: 19:22.