我正在Web应用程序中实现每页CSRF令牌。但是,我有一个想法。如果在攻击者提交恶意POST请求之前,他们在页面上提交GET请求并捕获CSRF令牌,会发生什么情况?是否可以防止外部站点从我的Web应用程序请求数据的任何地方?
没关系,我想出了自己的问题。如果将CSRF令牌存储在客户端cookie中,则跨域策略将阻止读取它。