Неверный токен защиты CSRF. Что такое CSFR?

Подделка межсайтовых запросов (от англ. cross-site request forgery, или сокращенно CSRF) - это одна из множества существующих атак на сайты. С помощью CSRF, даже на надежном сайте, как нам кажется, мошенник обманом заставляет пользователя выполнить нежелательные действия.

Что же такое CSRF

При csrf-атаке, хакер пытается отправить запрос от имени авторизированного пользователя по нужному ему адресу. Самым простым и надежным решением данной проблемы является токен CSRF. Это своего рода ключ, который выдается пользователю для каждой страницы, или даже действия, и проверяется при отправке данных на сервер. Проще говоря весь алгоритм работы сводится к следующим действим: клиент передает токен, сервер проверяет и сравнивает с сохраненным. Если токены совпадают, действие разрешено. В противном случае запрос отклоняется с ошибкой.
Токен CSRF не виден пользователю, но имеется в коде сайта.

Но увидеть ошибку Неверный токен защиты CSRF можно не только при поддельном запросе. Как говорилось ранее, токен генерируется при каждом открытии страницы. То есть, если вы посетили еще несколько страниц, или же ожидали на текущей странице слишком долго (например пол часа), токен будет невалидным и вы получите ошибку. В этом случае вам нужно просто обновить страничку и повторить действие.

Также токен CSRF защитит вас от повторного выполнения одного и того же действия при случайном обновлении страницы.