Môžem chrániť pred CSRF generovaním csrf tokenu na strane klienta s javascriptom a nastavením z javascript cookie s týmto tokenom a pridaním tohto tokenu na zverejnenie žiadosti?
na strane servera: skontrolovať súbor cookie [token] === uverejniť [token]
odpovede:
1 pre odpoveď č. 1Nie, čo má zabrániť útočníkovi v tom, aby urobil to isté? Server musí vlastniť jedno z poverení.
0 pre odpoveď č. 2
Neverím, že by to fungovalo.Útočník by mohol replikovať váš algoritmus na generovanie tokenu a poslať platnú hodnotu. Chcete nastaviť hodnotu na serveri a zabezpečiť, aby s hodnotou nebolo možné manipulovať.
0 pre odpoveď č. 3
Ak používate PHP s JavaScriptom, je tu asi spôsob, ako ho chrániť, pozrite sa na Projekt OWASP CSRFGuard, ale nemal som to hlbšie zahľadené, iba som to našiel
projekt implementujúci riešenie v štýle CSRFGuard pre PHP a JavaScript.
Ale v skutočnosti neviem, či ide o bezpečnú implementáciu alebo nie ...
Viem, že niektorí ľudia na OWASP pracujú na príprave ESAPI na JavaScript (o tom hovorí Chris Schmidt v tomto video ) ale neviem, ako sú momentálne ďaleko, pozri sa na esapi.org