Предположим, у нас есть сайт, который использует токены CSRF в форме.Расширения Chrome и CSRF неуязвимость
Теперь у нас есть расширение браузера/chrome (css, js, html), которое использует CSRF, который скрыт во входном файле, чтобы выполнить запрос на отправку и изменить состояние нашего приложения.
Как можно защитить от такой атаки? Или я чего-то не хватает?
Если у вас есть расширение для браузера, которому разрешен доступ к страницам, которые вы открываете, вы уже потеряли. Способ защиты от этого не должен устанавливать такие расширения. :) – biziclop