CSRF - 토큰을 가져 오기 위해 아약스 요청 보내기

Question

내 웹 사이트에 대한 CSRF 보호 기능을 개발 중입니다.

토큰을 양식 + 세션의 숨겨진 입력에 저장하고 동일한 지 확인합니다.

난 그냥이 시나리오에 대해 궁금 :

• 사용자가 방문하는 악의적 인 웹 사이트
• 악의적 인 웹 사이트는 양식 페이지를 얻을 수 아약스 GET 요청을 전송하고 추출물은 그것에서 토큰
• 악의적 인 웹 사이트로 POST 요청을 보냅니다 이전에 추출 된 데이터 + 토큰 변경.

이 시나리오에서 가능할까요? 내가 놓친 게 있니?

Answer 1

각 웹 사이트는 작동시키기 위해 고유 한 토큰을 가져야하며 서버 측에 할당됩니다. https://blog.myetv.tv/2017/09/18/writing-secure-code-how-myetv-do-crypt-auth-transfer-and-store-informations/

토큰에 다른 유형의 데이터 (예 : userip)가있을 수 있습니다 (AES로 암호화하여 원하는대로 만들 수도 있습니다.). 더 독특하고 근본적으로 복제가 불가능 함); 암호화 방법은 추가적이며 속도면에서 매우 집중적 일 수 있습니다. 사용 방법에 따라 가치가 있어야합니다 (대부분의 경우 고유 세션 ID는 SHA로 해시 됨).

희망 하시겠습니까?)