Jest ciasteczko samesite wystarczające do CSRF?
SAMESITE działa, umożliwiając przeglądarom i właścicielom witryn do ograniczenia, które żądania krzyżowe, jeśli takie istnieją, powinny zawierać określone pliki cookie. Może to pomóc w zmniejszeniu ekspozycji użytkowników na ataki CSRF, które wywołują przeglądarkę ofiary do wydania prośby, które wywołuje szkodliwe działanie na wrażliwej stronie internetowej.
Czy JWT chroni przed CSRF?
Jeśli umieścisz JWT w nagłówku, nie musisz się martwić o CSRF. Musisz jednak martwić się o XSS,. Jeśli ktoś może nadużyć XSS, aby ukraść twoje JWT, ta osoba może cię podszywać się.