Как мы знаем, в той же политике происхождения браузеров запрещен запрос async
запроса иностранному происхождению. Эта цель политики заключается в предотвращении атаки CSRF
.
Но мы по-прежнему можем синхронно запрашивать иностранное происхождение, и браузер будет использовать целевой файл cookie, а затем снова CSRF
. Exp. Мы можем добавить скрытую форму на веб-сайт хакера и автоматически отправить запрос на целевой сайт.
Так нужна ли эта политика?
Чтобы закрыть CSRF Attack, вы можете использовать маркер, который будет проверяться позже. Таким образом, атакующий сайт со скрытой формой не знает токена с момента его ввода в код зарубежного веб-сайта. Одна и та же политика происхождения предотвратит чтение страницы иностранного сайта, чтобы вы не получили токен с асинхронным вызовом