我已经构建了一个Web应用程序。该应用程序需要发出几个POST请求。由于没有发生完整页面重新加载(单页面应用程序),每次从模板动态生成表单时,我让应用程序向服务器发出ajax GET请求以获取csrf令牌,稍后将使用其他表单值提交。
为了实现,我在服务器'/ getCsrf'中创建了一个端点,它将csrf标记返回给用户。每次访问端点时,都会生成不同的唯一csrf令牌。
上述方法是否安全?我想知道攻击者是否可以强迫受害者访问不同服务器中的'/ getCsrf'url,窃取'csrf'令牌数据,加载伪造的表单页面,并向服务器发送意外的POST请求。