Потому что атака CSRF основана на переча cookie, а коль скоро JWT не хранится в cookie, то и CSRF невозможен. А ваще для защиты от CSRF выставь политику куки samesite=strict (по дефолту lax, но там приколдес с паузой в 2 минуты, см доку MDN), но это политика для куки, а у тя куки нет, поэтому и делать ничьо ни нада
Так с помощью js можно получить доступ к токену, который будет приходить в ответах от сервера, или даже лежать в переменных приложения. Или ты про какой-то конкретный случай, при котором полотно кода не вставить?
Как JS с сайта evil.com получит доступ к JWT site.com?
С помощью инструмента tool. Следующий!
Ты прав, я завтыкал. Думал речь про вставку js кода на сам уязвимый сайт. Спасибо!
Со смартфоном в руках. Следующий!
Обсуждают сегодня