Tengo un token que quiero usar para evitar el acceso directo de algunos archivos php.
Algunos de estos archivos php se cargan a través de AJAX.
El token se usa con una sesión para asegurar el envío del formulario Y para evitar el acceso directo de los archivos php.
Aquí hay un diagrama que hice para explicarlo un poco mejor:
¿Qué es más seguro? Versión 1 o 2?
El número 2 es más seguro porque es simple y es el método más común para implementar un token de sincronización CSRF. La complejidad es el enemigo de la seguridad. Para ser honesto, no puedo identificar un solo ataque que se prevenga con una medida en el # 1 , parece muy supersticioso, la "seguridad del culto de la carga". Esta medida de seguridad no impide que un proxy de intercepción como BURP acceda al archivo PHP, y más aún, ningún sistema de seguridad debe confiar en esta medida. XSS sigue siendo un problema importante que podría socavar esta aplicación (y los tokens de sincronización CSRF en general).
Recomiendo leer el manual de seguridad del navegador y A Tangled Web para ayudar a subestimar la Política del mismo origen y las formas en que los atacantes abusan de ella.
Lea otras preguntas en las etiquetas web-application attack-prevention csrf php ajax