Me encontré con un sitio web que utiliza el token de autenticidad de Rails para evitar ataques CSRF. Mi preocupación aquí es que puedo ver el token de autenticidad en el código fuente de la página web. Si cualquier otro servicio intenta llevar a cabo un ataque CSRF y este token es lo único que lo impide, ¿por qué no puede el atacante copiar el token y luego realizar el ataque?
Tener un token CSRF en el cuerpo de la página es una forma estándar de prevenir los ataques CSRF. El token es diferente para cada formulario que presenta la aplicación. por lo tanto, cuando se envía un formulario, se puede verificar la validez del token para el envío.
Si un atacante toma un token de una página y ve que esencialmente ese token no le será de utilidad como cuando otro usuario visita la misma página, el token no será el mismo.
Si está buscando más información, puede consultar la página OWASP en CSRF o esta publicación en StackOverflow sobre los detalles de los rieles.
El problema que evitan los tokens CSRF es solicitar falsificación . Para llevar a cabo una explotación exitosa, el atacante tendría que recibir una copia del token para el usuario que está intentando suplantar, no uno para sí mismo. Y actualmente no hay una forma práctica conocida para que un atacante adquiera una de estas fichas cuando se implementa correctamente.
Lea otras preguntas en las etiquetas authentication csrf web-service