Невалиден токен за CSRF защита. Какво е CSFR?

Фалшифицирането на заявки от други сайтове (Cross-site request forgery, или накратко CSRF) е една от многобройните атаки срещу уебсайтове. При CSRF, дори на надежден сайт, измамникът подмамва потребителя да извърши нежелани действия.

Какво представлява CSRF

При csrf атака хакерът се опитва да изпрати заявка от името на оторизиран потребител до желания от него адрес. Най-простото и надеждно решение на този проблем е CSRF токен. Това е вид ключ, който се издава на потребителя за всяка страница или дори действие и се проверява при изпращане на данни към сървъра. Казано по-просто, целият алгоритъм на работа се свежда до следните действия: клиентът изпраща токена, сървърът го проверява и сравнява със съхранения. Ако токените съвпадат, действието се разрешава. В противен случай заявката се отхвърля с грешка.
CSRF токенът не се вижда от потребителя, но присъства в кода на сайта.

Но появата на грешката Невалиден токен за CSRF защита е възможна не само при подменена заявка. Както беше посочено по-рано, токенът се генерира при всяко отваряне на страницата. Това означава, че ако сте посетили още няколко страници или ако сте чакали на текущата страница твърде дълго (например половин час), токенът ще бъде невалиден и ще получите грешка. В този случай просто трябва да презаредите страницата и да повторите действието си.

CSRF токенът също така ще ви предпази от многократно извършване на едно и също действие при случайно презареждане на страницата.