Перечитал весь инет - чего только люди друг на друга не наговорят во время обсуждения проблемы...но только не по делу (
В общем проблема защиты от CSRF на одностраничном приложении:

- мы генерируем уникальный токен и при первом запросе кладем его на страницу в специальное поле _csrf и попутно зашифровываем и кладем tuj в кук (сессии не рассматриваю по политическим причинам - они мне не нравятся совсем:)) )

- ежели вдруг каким-то образом страничка в моем приложении выполнит запрос, то вместе с ним на сервер прийдет скрытое поле _csrf и кук с зашифрованным токеном - ура сравнили все хорошо!

- но не тут-то было - страничками постить на сервер запросы я тоже не люблю - поэтому пользуюсь ajax запросами - тут вроде бы тоже ничего сложного : берем из тайного поля токен, помещаем его в спец заголовок и посылаем запрос - а с ним на сервер идет и кук с зашифрованным токеном - все опять ок.

- но вражина юзер решил открыть приложение еще и на другой вкладке - естественно сервер честно сгенерирует для той странички новый токен а вместе с ним прийдет и обновленный кук - и тут все запросы с 1й вкладки будут считаться вражескими!!

Кто как выходит из данной ситуации??

hVostt,

вы хоть пост прочитали? такое впечатление что вы ситуацию не поняли - токен и так создается, но этот ваш стандартный токен защищает от атаки только в многостраничном приложении...улавливаете разницу???

ИзопропилspКто как выходит из данной ситуации??
мы в неё не попадаем.


sp- но вражина юзер решил открыть приложение еще и на другой вкладке - естественно сервер честно сгенерирует для той странички новый токен а вместе с ним прийдет и обновленный кук - и тут все запросы с 1й вкладки будут считаться вражескими!!

не естесвенно, а при помощи говнокода
кука ведь прилетела, а скрытое поле - нет

и правильно - сам уж решай что предложить юзеру - отказаться от нового сеанса или закрыть старый.

поле тоже прилетело - как же страниуа без поля полетит - ее начальник не выпустит! :)

Яростный Мечsp,

можно этот секретный ключ сразу класть в куку (на сервере), а при ajax запросе доставать его из куки и добавлять в параметры - тогда у всех страничек будет одно и то же.

может быть - но почему-то так никто не делает, тот же ASP.NET мог бы такое делать и это было бы проще чем в каждую страницу вставлять поле. не знаю...
пойду на StackOverflow - там люди добрей )

Ну вот вражеский народ (на StackOverflow) и то добрее и профессиональней оказался :)

суть в следующем - что CSFR код генерируется один раз на всю сессию (это когда сессия есть на сервере).
в моей ситуации значит надо один раз токен сгенерировать и положить в кук и затем распихивать его по страницам

csrf-protection-by-storing-nonce-in-session-variable-and-form

в общем я понял в чем моя ошибка была - многие статьи пишут что для пущей секретности данный токен надо как можно чаще менять и выпускать его новый для каждого ресурса/страницы, а по науке (об этом нигде прямо не указано) он генерируется один раз на сессию

hVosttspНу вот вражеский народ (на StackOverflow) и то добрее и профессиональней оказался :)

суть в следующем - что CSFR код генерируется один раз на всю сессию (это когда сессия есть на сервере).
в моей ситуации значит надо один раз токен сгенерировать и положить в кук и затем распихивать его по страницам

csrf-protection-by-storing-nonce-in-session-variable-and-form

ничё не понял. то вы пишите про одностраничное приложение, то теперь вы уже по каким-то страницам что-то там распихиваете. у меня большие сомнения, что речь идёт о реальном проекте. потому что с таким подходом вряд ли можно дойти до чего-то вменяемого, интересного хотябы десятку пользователей во всём рунете, не говоря уже о каких-то призрачных миллионах, каждый второй который норовит взломать сайт.

ещё раз AntoForgeryToken прекрасно справляется с поставленной задачей. и количество страниц 1 или тысяча, совершенно по барабану сколько там их у вас. вообще до фанаря. до лампочки. плевать. не имеет значения. не выдумывайте. и не парьте себе и людям мозг.

вы вообще понимаете о чем речь идет - речь идет об одностраничном приложении не использующем сессии на сервере!! в котором вся работа выполняется при помощи ajax запросов и при этом пользователь может открыть несколько закладок с одним приложением! внимательно прочтите - думаю поразмыслив поймете почему AntoForgeryToken вообще никак не будет справляться

hVostt,

понятно вы любитель все делать параллельно и перпендикулярно:) и для вас шаг вправо или влево а также прыжок на месте - провокация и об этом надо донести куда следует :) вас раздражают нестандартные решения и постановки задачи!? хотите поговорить об этом?)))

Изопропил,

:) ваш токен не работает без сессии - и что вы в этом можете понимать... ну ну )

hVosttspКто как выходит из данной ситуации??

не создаём себе геморройных ситуаций. ваше решение — бред. ни от чего не защищает, а проблем добавляет.

я думаю чтоб впредь вы сильно не раздражались - не стоит так отвечать!
после такого ответа на какую реакцию вы расчитывали?)
нельзя было конструктивно и без пренебрежительного тона как подобает специалистам обсудить воррос???

по поводу вашего примера - возможно сейчас в MVC фреймворке это так как вы и привели, но в те времена когда мы пользовались ASP.NET дела обстояли иначе да в других средах токен привязан к сессии возьмите Ruby, Django и другие.
мы используем Node.js+Express - в нем тоже токен привязан к сесси но это становится ограничением при масштабировании - поэтомк переписываем модуль CSRF поэтому и спрашивал. тут написам нормальный пост а в ответ посыпались одни посылки и оскорбления...
чая я тоже не железный - кровинушка то у меня русская - вот и размахался тут руками аж неловко, но не я в этом виноват.
обидно что почти каждый пост на SQL.RU нынче обычно заканчиваетмя драками - я уже боюсь сюда даже писать сплошь хамство и оскорбления не в пример зарубежным форумам...

hVosttspчая я тоже не железный - кровинушка то у меня русская - вот и размахался тут руками аж неловко, но не я в этом виноват.

тьфу... да вы даже не используете ASP.NET, а пишите сюда — в форум по ASP.NET . целенаправленно вводите людей в заблуждение. чото спорите. делаете утверждения, не соответствующие истине. а потом пишите "я не виноват".

знаете как это называете? думаете на зарубежном форуме к вам после такого лучше отнесутся? да, может дилекатней, подумают про себя <нехорошее слово>, а в слух не скажут.

чего вы добиваетесь, я уже перестал понимать окончательно.

Вы плохо думаете о людях)) в отличие от наших псевдоспециалистов, там даже на дилетантский вопрос дают подробный и обстоятельный ответ!
Спасибо за науку - сам виноват, новое поколение набежало на форум и он становится не форумом а помойным местом :)