Можем ли мы захватить токен CSRF с помощью запроса ajax
Мой вопрос касается токенов csrf, цели этих токенов и можем ли мы их подделать ..
Личность проблемы
предположим, что у нас есть bank.com, у которого есть этот URL для совершения транзакции со счетом bank.com/ make -transactions? amount = 100USD & to = [accountId] эта ссылка будет доступна только аутентифицированным пользователям (зависит от SessionID в файлах cookie) со страницы, имеющей форму транзакции на сайте bank.com
Проблема возникает, когда вредоносный.com размещает поддельную форму со скрытыми полями, которые отправляют данные по указанному выше URL. Вызов SessionID в файлах cookie (связанных с bank.com), который будет отправлен этим представлением, и транзакция будет выполнена
Решение CSRF
Это решение зависит от сгенерированного токена (токена CSRF), который отправляется со страницей bank.com для совершения транзакции (в скрытом поле) и сохраняется в текущем сеансе пользователя.
И после того, как пользователь предоставит данные со страницы транзакции, этот токен (который будет отправлен вместе с данными) будет проверен на соответствие значению токена CSRF в пользовательском сеансе, и если они равны, то транзакция действительна, и если это не означает, что есть что-то не так и транзакция должна быть отклонена
Таким образом, он не позволяет вредоносному сайту совершать транзакции, отправляя поддельные запросы, поскольку у него нет возможности получить этот токен CSRF и внедрить его с запросом.
Мои вопросы
1 - что, если вредоносный.com сделает запрос ajax из браузера пользователя на bank.com (этот запрос отправит файлы cookie, связанные с bank.com. Я прав?), И он извлечет токен CSRF из ответа. и ввести этот токен в поддельной форме. Будет ли это подделывать bank.com с помощью похищенного токена?
2- могу ли я сгенерировать токен CSRF из конечной точки ajax в одностраничном приложении (скажем, перед тем, как предпринять действие. Спросите у сервера токен CSRF и отправьте этот токен с действием) или нет (если я могу то, о чем я должен знать) ?
Спасибо за ваше время с моими наилучшими пожеланиями
Ответы 1
what if the malicious.com makes ajax request from the user browser to bank.com
… Тогда Та же политика происхождения браузера не позволит вредоносному сайту прочитать содержимое страницы (если вы явно не разрешите ему использовать CORS… не делайте этого).
can I generate CSRF token from ajax endpoint in single page application (let say befor take the action
да
пожалуйста какие-нибудь предложения?
Спасибо большое, дорогой. Скажите, пожалуйста, есть ли какие-то моменты, о которых следует помнить при реализации конечной точки CSRF. передовой опыт или точки безопасности, на которые следует обратить внимание. или просто как GET / csrf и вернуть json с токеном