Ослабляет ли защита CRSF отправку токена CRSF с помощью запроса ajax

Question

У меня есть форма, которая при отправке проверяет токен CSRF и проверяет его.Я пытаюсь иметь ту же безопасность, когда я отправляю форму с ajax.Но ajax-запрос не отправляет саму форму, он просто отправляет данные на URL с пост-запросом.Что произойдет, если запрос ajax отправит этот токен CSRF вместе с запросом.На сервере я тогда проверю, если токен CSRF.Влияет ли это на мою безопасность?Может ли это привести к тому, что другие пользователи будут использовать способ представления ajax?

Answer 1

Да, это должно быть безопасно.Пока JavaScript, работающий на другом домене, не может прочитать токен.Это может произойти, например, это злоупотребление JSON, используемое против gmail .

Answer 2

Размещение на сервере и включение токена должны быть такими же безопасными, как и при использовании формы; это просто еще один способ сделать то же самое. Вот пример из приложения, над которым я работаю:

        var getCookie = function(name) {
            var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
            return r ? r[1] : undefined;
        };

        var args = {
            _xsrf : getCookie("_xsrf"),
           // other args added
        };

        $.ajax({
            url : "/ajaxhandler",
            data : args,
            type : "post",
            dataType : "json",
          // .. the rest as usual
        });