CSRF-токен (Cross-Site Request Forgery token) — это уникальный секретный токен, который генерируется сервером и вставляется в формы или запросы веб-приложения.

Его роль — защитить приложение от атак типа CSRF, когда злоумышленник пытается выполнить нежелательные действия от имени аутентифицированного пользователя, отправляя запросы с другого сайта.

Механизм работы:

При загрузке страницы сервер генерирует CSRF-токен и вставляет его в форму или заголовок.
При отправке формы или запроса клиент отправляет этот токен обратно серверу.
Сервер проверяет, что полученный токен совпадает с ожидаемым.

Если токен отсутствует или не совпадает, сервер отклоняет запрос, предотвращая выполнение потенциально вредоносных действий.

Таким образом, CSRF-токен обеспечивает, что запросы исходят именно от легитимного пользователя и с доверенного интерфейса приложения.

Какая роль у CSRF-токена в обеспечении безопасности веб-приложений?