Почему CSRF защита работает?

Читаю про защиту от CSRF.

  1. При авторизации сервер устанавливает куку с именем CSRF-TOKEN, и пишет в неё токен.

  2. Код, осуществляющий XMLHttpRequest, получает куку и ставит заголовок X-CSRF-TOKEN с ней.

  3. Сервер проверяет, есть ли заголовок и содержит ли он правильный токен.

Защита действует потому, что прочитать куку может только JavaScript с того же домена. «Злая страница» не сможет «переложить» куку в заголовок.

Я плохо знаю JavaScrypt, поэтому спрашиваю: почему это "Злая страница" не сможет переложить куку? Я для вытаскивания куки делаю такой запрос: Cookies.get('XSRF-TOKEN'), а какому-нибудь левому сайту что мешает так сделать?


Ответы (0 шт):