Мы взяли на себя устаревшее приложение и хотим приступить к написанию одностраничных компонентов приложения для него.
Мы понимаем, что наиболее распространенными векторами атак являются XSS и CSRF.
Учитывая это приложениеиспользует аутентификацию в стиле Session Cookie, мы включим HTTPOnly куки в куки сессии (чтобы защитить его от XSS).
Однако я немного запутался в борьбе с атаками CSRF.
В настоящее время приложениебудет генерировать скрытый 'токен' для каждого запроса POST формы, который дважды проверяется с помощью сеанса, когда запрос возвращается на сервер.
Однако сейчас у нас происходят сотни вызовов JSON Ajax, и сообщения одиночной формытеперь не имеет значения.
Мы хотели бы сгенерировать токен CSRF и просто продолжать передавать его в заголовке при каждом запросе AJAX.Но будет ли это на самом деле работать?
Если мы просто сгенерируем маркер XSRF при входе в систему, а затем просто продолжим передавать его по проводам при каждом запросе (в заголовке), можем ли мы ожидать, что это будет классифицировано как защищенное?