По поводу межсайтовой подделки запросов?
Если злоумышленник внедряет на свой сайт JS-код, который через куки пользователя проворачивает свои дела, то как X-CRSF и тому подобные токены, которые хранятся как куки, должны помочь?
Ответы (1 шт):
Атаки CSRF основаны на том, что authentication cookie отправляются браузером автоматически.
Защита через токены основана на том, что сайт проверяет не наличие куки, а наличие значения из куки в дополнительном хедере.
Код на странице сайта может взять значение из куки и положить его в отдельный хедер. Сервер проверяет, что значение в куке и в хедере совпало. Т.е. запрос от вашего сайта будет выглядеть так:
Cookies: X-CSRF=abc
X-CSRF: abc
Сторонний сайт может отправить запрос на ваш сайт, но не может достать значение из куки и прислать его в доп хедере. Он может только отправить запрос без значения в доп хедере. Запрос будет выглядеть так:
Cookies: X-CSRF=abc
И сервер его завернет.
CRSF в современных браузерах предотвращается через SameSite=Lax по умолчанию для кук, так что можете не заморачиватся с дополнительной защитой.