нафига в теле слать токен, это просто сводит на нет всю твою запарку

В таком случае, надо ли реализовывать CSRF protection?

я ответил выше

Ну я думал что надо в хедере отправлять токены, если это не объязательно, тогда не надо, можно про это забыть

Не все браузеры работают с samesite, посмотри на caniuse

так в хедере и надо. Разница между хеадерами и телом тебе понятна?

Да, понятна, но смотри, если я отправляю токен в куках с сервера, то какой смысл оптправлять ещё и в хедере?

Возможно я выгляжу топой, по-этому наперёд, извините

аа как ты отправишь "куки" ?)

Ааххаха, я понял к чему ты ведёшь)

#кратко_о_токенах
Сервер авторизации принимает логин и пароль, если все ок отвечает заголовками которые устанавливают защищеные куки. время жизни равное времени токена. Один токен для самого себя (его назаывают refreshToken) другой (или другие) для апи эндпоинтов - их называют accessToken. (время жизни меньше чем у первого токена).

Все это апи эндпоинты проверяют токен когда ты к ним ходишь. Если они видят что он заэкспайрился присылают тебе редирект заголовок на сервер авторизации который читает рефреш токен, обновляет ацеес токены (если скажем тебя еще не забанили или рефреш токен не истек) и редиректит назад на апи эндпоинт

если access токен не истек то апи сервер просто отдает тебе инфу

@joj0ba 👆

Ну это я понимаю

Меня просто интересует нужно ли защищать от CSRF

ну говорят что еще нужен, но я не шарю как это работает

пусть кто-нибудь обяснит кто это делал

Ребята, стоит ли делать CSRF защиту и как это лучше реализовать?

вроде как если у тебя не стоит в заголовках что-то типо
Access-Control-Allow-Origin: *
то не нужно

согластно этому посту
https://stackoverflow.com/questions/5207160/what-is-a-csrf-token-what-is-its-importance-and-how-does-it-work