Se i token CSRF sono incorporati nei meta tag, in che modo offrono sicurezza?

Sono sicuri a causa della politica Same-Origin: un'origine A (site.com) non può leggere una risorsa da un'altra origine (other.fr) a meno che tu non abbia autorizzato l'utilizzo di Access-Control-Allow-Origin .

In caso di CSRF di base, l'attacco non consiste nel leggere la risposta, ma consiste nell'indurre il server a compiere un'azione che è stata lanciata da un utente vittima senza che questa vittima ne sia al corrente.

Quindi, nella CSRF di base, la vittima ha un token che l'attaccante non può sapere (la politica Same-Origin lo impedisce). Quando la vittima richiede qualcosa dal server ( /user/delete?id=15 ma nel mondo reale, non passare l'ID di GET ma di POST poiché modifica lo stato del server), il server controllerà se quel token è presente e valido. In caso contrario (poiché viene generato dall'attaccante, che non può conoscere il token), il server rifiuta di elaborarlo e l'utente 15 non viene eliminato. Quando il token è qui e valido, il server elimina l'utente e restituisce la risposta (che non può ancora essere letta dall'attaccante).

Quindi Same-Origin impedisce a attacker di leggere la risposta, mentre il token CSRF impedisce al server di elaborare una richiesta non richiesta.