He estado leyendo en todo el Internet que debería tener el token CSRF en mi página y esto lo protegerá de CSRF.
Sin embargo, puedo imaginar un escenario en el que anti-CSRF no es útil. ¿Está mal mi entendimiento en alguna parte? El escenario está siguiendo.
Mi sitio web (example.com) tiene un formulario con un campo anti-CSRF-token. El atacante crea su propia página (example2.com), en la que coloca el código js que sigue en segundo plano:
- enviar la solicitud GET a 'example.com'
- raspe el token anti-CSRF (ya que puede ver la estructura de la página usándola él mismo)
- realizar una solicitud maliciosa a 'example.com', incluido el valor raspado del token, para que mi servidor no pueda saber que la solicitud no es válida
Ahora, si tal escenario es posible, ¡significaría que toda la protección del token CSRF no sirve para nada!