у меня есть эта форма
<form>
//code
<input type="hidden" value="gfth35rfer43556thgrth8678gbfgb" name="csrf">
</form>
Токен уникален для каждого пользователя. Теперь предположим, что злоумышленник вошел в систему и открывает эту страницу. Теперь он знает, что такое токен текущего сеанса, скопировав значение, указанное выше, у злоумышленника есть токен аутентификации. Он может легко атаковать мой сайт. Как эта процедура предотвращает атаку csrf?
Данный:
Суть защиты CSRF состоит в том, чтобы не дать Мэллори обманным путем заставить Алису отправить данные, предоставленные Мэллори (используя учетные данные пользователя Алисы).
Поскольку у Алисы и Мэллори разные токены, Мэллори не может просто «скопировать значение выше».
Он не может помешать Мэллори отправлять данные, используя свои собственные учетные данные. Чтобы решить эту проблему, вам нужно решить, насколько доверять разным пользователям.
