История изменений
Исправление LINUX-ORG-RU, (текущая версия) :
Кросс запросы запрещены в браузерах, браузер пользователя не сможет сделать запрос/отправку формы на linux.org.ru со страницы на example.com в которую добавили форму логина на linux.org.ru, а значит linux.org.ru не сможет вернуть сессию пользователя.
Плюс, нельзя просто взять и отправить сразу форму логина, нужно как минимум 2 соединения, первое получение формы, второе отправка формы, отваливается тупой брутфорс, и особенно глупый который в холостую шлёт запросы даже правильного логина но без CSRF. И прочие мелкие эффекты отмахивания назойливых мошек путём распыления репиллента.
Это конечно всё бесполезно, если форма на example.com отправляет данные на свой сервер, а тот уже имея данные для входа делает логин на стороне сервера. Но это и не для этого, для запрета этого другие механизмы. А CSRF_TOKEN это просто закрытие совсем уж очевидных лазеек для приколистов. Как лежачий полицейский, не мешает проехать в целом, но мешает ехать определённым образом.
https://developer.mozilla.org/ru/docs/Web/HTTP/Guides/CORS
(это если я правильно понимаю, могут быть нюансы)
Исправление LINUX-ORG-RU, :
Кросс запросы запрещены в браузерах, браузер пользователя не сможет сделать запрос/отправку формы на linux.org.ru со страницы на example.com в которую добавили форму логина на linux.org.ru, а значит linux.org.ru не сможет вернуть сессию пользователя.
Плюс, нельзя просто взять и отправить сразу форму логина, нужно как минимум 2 соединения, первое получение формы, второе отправка формы, отваливается тупой брутфорс, и особенно глупый который в холостую шлёт запросы даже правильного логина но без CSRF. И прочие мелкие эффекты отмахивания назойливых мошек путём распыления репиллента.
Это конечно всё бесполезно, если форма на example.com отправляет данные на свой сервер, а тот уже имея данные для входа делает логин на стороне сервера. Но это и не для этого, для запрета этого другие механизмы. А CSRF_TOKEN это просто закрытие совсем уж очевидных лазеек для приколистов. Как лежачий полицейский, не мешает проехать в целом, но мешает ехать определённым образом.
(это если я правильно понимаю, могут быть нюансы)
Исправление LINUX-ORG-RU, :
Кросс запросы запрещены в браузерах, браузер пользователя не сможет сделать запрос/отправку формы на linux.org.ru со страницы на example.com в которую добавили форму логина на linux.org.ru, а значит linux.org.ru не сможет вернуть сессию пользователя.
Это конечно всё бесполезно, если форма на example.com отправляет данные на свой сервер, а тот уже имея данные для входа делает логин на стороне сервера. Но это и не для этого, для запрета этого другие механизмы. А CSRF_TOKEN это просто закрытие совсем уж очевидных лазеек для приколистов. Как лежачий полицейский, не мешает проехать в целом, но мешает ехать определённым образом.
(это если я правильно понимаю, могут быть нюансы)
Исходная версия LINUX-ORG-RU, :
Кросс запросы запрещены в браузерах, браузер пользователя не сможет сделать запрос/отправку формы на linux.org.ru со страницы на example.com в которую добавили форму логина на linux.org.ru, а значит linux.org.ru не сможет вернуть сессию пользователя.
Это конечно всё бесполезно, если форма на example.com отправляет данные на свой сервер, а тот уже имея данные для входа делает логин на стороне сервера. Но это и не для этого, для запрета этого другие механизмы. А CSRF_TOKEN это просто закрытие совсем уж очевидных лазеек для приколистов. Как лежачий полицейский, не мешает проехать в целом, но мешает ехать определённым образом.