У меня есть запрос, который использует одноразовый токен, встроенный в страницу, чтобы обеспечить защиту CSRF - злоумышленник может обмануть моих пользователей в совершении незаконного запроса, но они не могут получить токен, и даже если они могут быть изменены с каждым запросом и могут истечь.Лучшая практика для рабочего фона для синхронизации рабочего стола с защитой CSRF
До сих пор так надежно.
Я хочу реализовать синхронизацию фона с сервисным работником, чтобы пользователь мог отправлять данные в автономном режиме, а затем отправлять эти данные позже, когда они получают соединение.
Однако это означает, что страница недоступна для получения токена CSRF, и любой токен, связанный с запросом при его создании, может быть недействительным к моменту фактического отправки данных.
Это может показаться общей проблемой с любым прогрессивным веб-сайтом, какова наилучшая практика для его обработки?
Я думаю, что синхронизация фона может запросить новый токен, применить его к данным для отправки, а затем отправить их, и это все равно будет цикл, который злоумышленник CSRF не смог бы использовать, но я не уверен в этом. Может ли кто-нибудь подтвердить это в любом случае?
Есть ли какая-то особенность сервисных работников или фоновая синхронизация, которые мне не хватает?
Приветствия за ответ - Я вроде как понял что-то подобное, но я уверен, что есть эксперты по безопасности, которые могут выбрать дыры, на мой взгляд. – Keith
Возможно, лучше всего перейти на http: //security.stackexchange.com/... – bishop
Возможно, хотя я не сомневаюсь, что ответ не является чем-то конкретным для реализации обслуживающих работников, которых я пропустил, и в этом случае У меня больше шансов получить ответ. – Keith