Топор ios получает другой токен X-CSRF, чем Почтальон

Question

Почему токен x-csrf, который я получаю от своего топора ios, отличается от того, который я получаю от почтальона? Вот как я его получаю

headers: {
  "X-CSRF-Token": "FETCH"
}

Также я не могу использовать токен x-csrf из моего запроса ax ios в Postman, он получает отказ с сообщением об ошибке, что он не является действительным x-csrf токен

Также токен от ax ios отличается каждый раз, когда я выполняю запрос GET. Токен от Почтальона остается таким же для arround, как 10-15 минут.

Токен от Почтальона: t7HbFUE0sgE4vM36BN_u_Q ==

Токен от Ax ios: 16c47S-pA5oxZu6t_pUi8Q == * 1010

Answer 1

Почему токен x-csrf, который я получаю от своего топора ios, отличается от того, который я получаю от почтальона?

Защита CSRF была бы бесполезна, если злоумышленник может предсказать токен, который будет отдан браузеру, используемому для атаки.

Уникальный токен CSRF создается для каждого ... чего-либо (часто сеанс браузера, иногда загрузка страницы, иногда что-то среднее) и связывается с определенный c клиент с (обычно) сеансом / поваром ie.

Portswigger имеет хороший обзор CSRF