Нужна ли мне защита cstf, если backend и frontend имеют разные домены?

У меня есть:

Реагируйте на приложение: https://myreact.com
Django + DRF: https://mydjango.com
В React есть форма, которая при отправке посылает POST запрос на mydjango.com/handle-form со всеми куками, потому что я указываю withCredentials: true в моем ajax запросе (таким образом все куки отправляются).

Как я вижу, нет возможности выполнить csrf атаку, потому что браузер хранит куки только для myreact.com. И если злоумышленник создаст домен myreact2.com с такой же точно формой (которая при отправке посылает POST запрос на mydjango.com/handle-form), cookies с myreact.com не будут отправлены, что означает отсутствие csrf атаки.

Вопросы:

Я прав?
Будет ли браузер хранить куки только на myreact.com или на обоих доменах, когда я делаю ajax запрос с myreact.com на mydjango.com и mydjango.com в ответ посылает заголовок Set-Cookie?

Я понимаю, как это будет работать, когда фронтенд и бэкенд используют один и тот же домен. CSRF атака может быть очень возможна без csrf токена или чего-то еще. Но мой случай меня беспокоит

Вернуться на верх

Последние вопросы и ответы

Ubuntu server with Django, Gunicorn, Nginx does not give static

Сервер на Ubuntu с Django, Gunicorn, Nginx не отдает статику

Django same slug but using different URL path

i can develop a bulk massge software [closed]

as django fresher developer what sequence of topics need to be done? [closed]

How can I change device creation to be managed only through the Client model, and restrict direct device creation? [closed]

Hosting a web in local server

Form submit confirmation does not work in jQuery `ready()`

Gemini 2.0 experimental image generation in django

Django session cookies not persisting

Нужна ли мне защита cstf, если backend и frontend имеют разные домены?

Последние вопросы и ответы

Рекомендуемые записи по теме