Нужна ли мне защита cstf, если backend и frontend имеют разные домены?

У меня есть:

Реагируйте на приложение: https://myreact.com
Django + DRF: https://mydjango.com
В React есть форма, которая при отправке посылает POST запрос на mydjango.com/handle-form со всеми куками, потому что я указываю withCredentials: true в моем ajax запросе (таким образом все куки отправляются).

Как я вижу, нет возможности выполнить csrf атаку, потому что браузер хранит куки только для myreact.com. И если злоумышленник создаст домен myreact2.com с такой же точно формой (которая при отправке посылает POST запрос на mydjango.com/handle-form), cookies с myreact.com не будут отправлены, что означает отсутствие csrf атаки.

Вопросы:

Я прав?
Будет ли браузер хранить куки только на myreact.com или на обоих доменах, когда я делаю ajax запрос с myreact.com на mydjango.com и mydjango.com в ответ посылает заголовок Set-Cookie?

Я понимаю, как это будет работать, когда фронтенд и бэкенд используют один и тот же домен. CSRF атака может быть очень возможна без csrf токена или чего-то еще. Но мой случай меня беспокоит

Вернуться на верх

Последние вопросы и ответы

How do you customise these 3 dots in wagtail?

Django app static files recently started returning 404s, deployed by Heroku

Django Rest Framework ListAPIView user permissions - Cant seem to get them working

Django gunicorn gevent with Statsig - run code in forked process

Django Materialized View Refreshing Celery Task is freezing in DB layer for larger dataset

Django unicorn asgi concurrency performan issue

Create question with options from same endpoint

Django difference between aware datetimes across DST

can I use get_or_create() in django to assign a global variable?

Django Celery Beat SQS slow scheduling

Нужна ли мне защита cstf, если backend и frontend имеют разные домены?

Последние вопросы и ответы

Рекомендуемые записи по теме