Esaminando questa domanda precedente , la risposta suggerisce che l'utilizzo di GET
la richiesta di recuperare un token CSRF per fare un POST
è un metodo legittimo per prevenire gli attacchi CSRF.
Ho due siti Web e un modulo è usato per comunicare tra loro: un modulo di accesso. Questi due siti sono in sottodomini separati e il modulo stesso sul Sito A è: <form method="post" action="https://siteB.com/login">..</form>
Il sito B richiede un token CSRF da inviare tramite un input nascosto, quindi al caricamento della pagina, effettuo una chiamata JSONP a //siteB.com/getCSRFToken
, che restituisce il token valido. Uso javascript per inserire l'elemento di input nascosto nel modulo, l'utente non è più saggio e il modulo viene inviato correttamente.
Ci sono potenziali implicazioni per la sicurezza a fare questo? SiteB è un'applicazione Node con supporto Express, quindi sto solo usando il loro middleware CSRF per gestire la generazione / scadenza.