LINUX.ORG.RU

Не будет ли дыркой автоматически обновлять CSRF-токен из скрипта?

 ,


0

1

Помогите разобраться. У меня приложение все запросы шлет аяксом через POST, исходник страницы не обновляется. К запросам добавляется CSRF токен, который иньектится при загрузке страницы. Соответственно, есть шансы что юзер уйдет поспать не закрыв браузер, а потом попытается что-нибудь кликнуть, когда токен протух.

Вопрос - не будет ли дыркой, если я в клиентском скрипте автоматически запрошу новый токен и повторю запрос?

Насколько я понимаю, типичные взломы делают когда:

- страницу втыкают через <img>
- страницу втыкают через iframe

В первом случае скрипты выполняться не должны. Для второго варианта - у меня просто нет URL на GET, которые модифицируют данные. Ну плюс HTTP-заголовки добавлю, для запрета запуска скриптов в IFRAME.

Итак, вопрос: автоматический рефреш токена из скрипта это дырка или нормально? что нужно предусмотреть?

★★★★★

сделай срок жизни CSRF токена большим.

Запрос за CSRF можно сделать, но только если у тебя нет CORS

maxcom ★★★★★ ()

img и iframe страшны только для ГЕТ. Клади токен в куки, проще будет.

Kalashnikov ★★★ ()
Ответ на: комментарий от maxcom

Ну сейчас время жизни около суток, и все равно может не хватить. А писать юзеру про токены не комильфо. CORS не проблема, и в любом случае я заголовки с пермишенами могу контролировать.

Тут концептуальный вопрос. CSRF относится к тем данным, для которых никто не гарантирует сохранность (как и для сессии). В идеале его утерю желательно разруливать автоматически. Вот хочу понять, будет это дыркой или нет.

Vit ★★★★★ ()
Ответ на: комментарий от Kalashnikov

Не надо решение одной проблемы подменять другой. Мне еще надо чтобы без кук все работало, если кто-то воткнул экстеншен для их полного запрета.

Но вот конкретно в этой теме хочу понять, можно ли автоматически обновлять жабаскриптом CSRF токен если он протух.

Vit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.