Извинюсь , тему можно удалять:)
AnrDaemon Продвинутый новичок 24 Апр 2017 #2 А ты нарисуй себе схему подмены запроса и посмотри, как этот токен помогает уменьшить её эффективность.
А ты нарисуй себе схему подмены запроса и посмотри, как этот токен помогает уменьшить её эффективность.
Вурдалак Продвинутый новичок 24 Апр 2017 #3 На самом деле достаточно заставить клиента отправлять CSRF token и в куках и в запросе и проверять их совпадение, для этого никакого состояния на сервере (в виде тех же сессий) не нужно вообще.
На самом деле достаточно заставить клиента отправлять CSRF token и в куках и в запросе и проверять их совпадение, для этого никакого состояния на сервере (в виде тех же сессий) не нужно вообще.