У меня есть механизм anti-crsf в моих приложениях, но мне интересно, действительно ли это необходимо? Могу ли я полагаться исключительно на одну и ту же политику происхождения, чтобы защитить моих пользователей от атак на межсайтовый ресурс?Является ли защита CORS (такая же политика происхождения) надежной?
Политика одного и того же происхождения предотвращает создание межсайтовых скриптов, что в противном случае было бы возможно даже для хорошо написанных приложений. Но это не поможет с CSRF, например, если вредоносный сайт включает в себя код, как это:
<body onLoad="document.getElementById('attack').submit();">
<form id="attack" action="http://victim/admin/add-user">
<input type="hidden" name="username" value="badguy"/>
<input type="hidden" name="password" value="asdf394y"/>
<input type="hidden" name="role" value="admin"/>
</form>
</body>
Злоумышленник не сможет прочитать ответ, но здесь это не нужно.