Помогите разобраться. У меня приложение все запросы шлет аяксом через POST, исходник страницы не обновляется. К запросам добавляется CSRF токен, который иньектится при загрузке страницы. Соответственно, есть шансы что юзер уйдет поспать не закрыв браузер, а потом попытается что-нибудь кликнуть, когда токен протух.
Вопрос - не будет ли дыркой, если я в клиентском скрипте автоматически запрошу новый токен и повторю запрос?
Насколько я понимаю, типичные взломы делают когда:
- страницу втыкают через <img>
- страницу втыкают через iframe
В первом случае скрипты выполняться не должны. Для второго варианта - у меня просто нет URL на GET, которые модифицируют данные. Ну плюс HTTP-заголовки добавлю, для запрета запуска скриптов в IFRAME.
Итак, вопрос: автоматический рефреш токена из скрипта это дырка или нормально? что нужно предусмотреть?
Ответ на:
комментарий
от maxcom
Ответ на:
комментарий
от Kalashnikov
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум CSRF-токен костыль? (2015)
- Форум суть механизма проверки csrf-токена со стороны сервера (2017)
- Форум Почему csrf-токен отправляется только при первой загрузке? (2018)
- Форум скрипт обновляющий меню (2015)
- Форум Ubuntu не обновляется автоматически. (2015)
- Форум flask CSRF missing (2019)
- Форум CSRF в redmine (2014)
- Форум Автоматически обновляемые графики из питона (2013)
- Форум CSRF-токен на страже защиты веб-сервера от DDoS атак. Взлетит? (2015)
- Форум Дырки (2013)