Então se caso o usuário fizer uma requisição antes para a pagina e pegar o token, ele poderia enviar esse token pro servidor e o servidor iria aceitar a requisição mesmo sendo forjada, ou sejá, não resolve o problema.
Então se caso o usuário fizer uma requisição antes para a pagina e pegar o token, ele poderia enviar esse token pro servidor e o servidor iria aceitar a requisição mesmo sendo forjada, ou sejá, não resolve o problema.
Olá, Leonard! Tudo bem?
Entendo sua preocupação com a questão de CSRF (Cross-Site Request Forgery) em relação à segurança da aplicação. De fato, se um usuário mal-intencionado conseguir obter o token CSRF de um usuário legítimo, ele poderia enviar uma requisição forjada para o servidor.
No entanto, o objetivo do token CSRF é justamente evitar esse tipo de situação. O token é gerado de forma única para cada sessão do usuário e é incluído em todas as requisições que modificam o estado da aplicação, como formulários de envio de dados.
Quando o servidor recebe uma requisição, ele verifica se o token CSRF enviado corresponde ao token esperado para aquela sessão específica. Se os tokens não coincidirem, o servidor irá rejeitar a requisição, pois isso indica que ela pode ser uma tentativa de ataque.
Portanto, mesmo que um usuário mal-intencionado consiga obter o token CSRF de outro usuário, ele não conseguirá enviar uma requisição forjada, pois o token não será válido para a sessão dele.
Espero ter ajudado a esclarecer sua dúvida sobre o CSRF. Se tiver mais alguma pergunta, estou à disposição!
Espero ter ajudado!
Caso tenha dúvidas, fico à disposição.
Abraços e bons estudos!