Как защитить свой сайт от атаки на основе перекрестного запроса? Я посещаю «обычный» сайт. (f.e. normal.php) В фоновом режиме он загружает другой сайт (f.e. victim.php/send_comment), где я уже вошел в систему. Веб-сайт заполняет поля комментариев жертвы.php JS и автоматически отправляет запрос.Как защитить от CSRF
В сети я всегда нахожу трюк, чтобы использовать жетоны против CSRF. Но в этом примере сайт normal.php получит маркер, когда он загружает другой сайт. Я не понимаю, как работает токен? Если нет, как я могу запретить моему сайту принимать этот запрос?
Большое спасибо. Имеет смысл! Можете ли вы порекомендовать структуру? – GURKE
@GURKE Это зависит от ваших языковых предпочтений. Для python или ruby многие (возможно, большинство) фреймворки имеют встроенный CSRF. Я не уверен в PHP или Java, но помню, что CSRF обычно является дополнительной функцией - я бы не выбрал фреймворк только из-за этого – goncalopp
Для PHP [Laravel] (http://laravel.com/) отличная встроенная защита CSRF. – flyingL123