просто зайти на сайт-жертву, увидеть тот самой токен, который создался по Blade директиве @csrf, и просто вставить его в вредоносный веб-сайт, который отправляет форму на сайт-жертву?
так токен у каждого свой и обновляется. зайдя на сайт ты увидишь свой токен. и да, если ты его вставишь - запрос пройдет, один раз, потом его потребуется обновить. как ты получишь токен неизвестного посетителя? тебе надо зайти под его сессией, а это уже угнать надо. и csrf предотвращает выполнение действий на чужом ресурсе от твоего имени.
Обсуждают сегодня