Помогите разобраться. У меня приложение все запросы шлет аяксом через POST, исходник страницы не обновляется. К запросам добавляется CSRF токен, который иньектится при загрузке страницы. Соответственно, есть шансы что юзер уйдет поспать не закрыв браузер, а потом попытается что-нибудь кликнуть, когда токен протух.
Вопрос - не будет ли дыркой, если я в клиентском скрипте автоматически запрошу новый токен и повторю запрос?
Насколько я понимаю, типичные взломы делают когда:
- страницу втыкают через <img>
- страницу втыкают через iframe
В первом случае скрипты выполняться не должны. Для второго варианта - у меня просто нет URL на GET, которые модифицируют данные. Ну плюс HTTP-заголовки добавлю, для запрета запуска скриптов в IFRAME.
Итак, вопрос: автоматический рефреш токена из скрипта это дырка или нормально? что нужно предусмотреть?