Клиентской части идет запрос csrf токена на беке, зачем это делается?
Это защита
Я в целом понимаю что такое csrf защита и атаки. Я могу на беке прописать и разрешить с моего домена отправлять пост запросы. Но зачем таким образом csrf токен передавать?
Ну это хз, как там устроено, у меня через config в axios, в headers передаётся всем запросам
То есть у меня есть АПИ мне нужно сгенерировать токен передать его на фронт и добавить в заголвоки которые отправляются с клиентской части ....
(axios.get(CSRF_TOKEN_URL)) А метом дом гет точно можно токен получить? Я нашел пример, где получают токен методом пост и нужно логин и пароль отправить.
не совсем понятно. у тебя в итоге гет или пост запросом с бека токен получается?
У меня нет запросов, он через заголовки передаётся
У тебя токены что на фронте генерируются?
Нет, на laravel
Ну на беке значит, без по определенному url например /api/token/ отдает токен . как ты этот токен берешь? каким методом? что в запросе?
бекенденры как раз знают про csrf
Да просто я развернул чужой проект там по url /api/csrf получают данные скорее всего csrf_token именно get запросом и этот функционал реализован на фронте, а на беке я нашел похожий функционал, там не post запрос отправляется с фронта и еще логин и пароль что бы получить этот csrf_token. Вот я и в замешательстве.
Обсуждают сегодня