Ho letto su Internet che dovrei avere un token CSRF sulla mia pagina e questo lo proteggerà da CSRF.
Tuttavia, posso immaginare uno scenario in cui l'anti-CSRF non è utile. La mia comprensione è sbagliata da qualche parte? Lo scenario sta seguendo.
Il mio sito Web (esempio.com) ha un modulo con il campo token anti-CSRF su di esso. L'autore dell'attacco crea la propria pagina (example2.com), sulla quale inserisce il codice js che segue in background:
- invia la richiesta GET a "esempio.com"
- raschia via il token anti-CSRF (poiché può vedere la struttura della pagina usando lui stesso)
- fai una richiesta dannosa a "esempio.com" incluso il valore raschiato del token, in modo che il mio server non possa sapere che la richiesta non è valida
Ora, se tale scenario è possibile, significherebbe che l'intera protezione CSRF-token è inutile!