CSRF токен таймаут

Question

Эта страница описывает случай использования для объяснения CSRF атак (16.1):

https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html

Но если пользователь действительно регистрируется на веб-сайте банка, то это не возможно для зла веб-сайт, чтобы сделать запрос GET, чтобы получить новый токен CSRF и создать POST без необходимости использования пользователя?

Ответ должен быть нет, иначе токен CSRF был бы бесполезен, но я не понимаю, почему?

Answer 1

Ответ «нет», и причина в политике «один и тот же источник».

СОП означает, что страница из evil.comне может читать никакого ответа на запросы, которые он может послать example.com. Большинство прямых способов отправки запроса будут заблокированы браузером (SOP), но есть много способов обхода. Например, evil.com может отправить

• запросы GET вложением в <img>, <script>, <css> и установка src="http://example.com/path" (или <a href="http://example.com/path">).
• POST-запросы, отправив форму.

С evil.com не может прочитать ни один из ответов, он не может читать токен CSRF.