Вообщем пока проблему опишу, есть домен А и Б, на домене А стоит защита CSRF, т.е. любые запросы с домена Б он не пропускает если не передавать токен, на сайте Б клиент заходя получает XXX.JS с сайта А но на сам сайт А он не попадал и не попадет, о нем о как бы знать не должен, соответственно токен ключа и него в куках нет, каким образом мне получить это токен ключ на сайте Б? Есть только одна идея это создавать с помощью XXX.JS скрытый IFRAME какой то пустой страницы на сайте Б с сайта А, чтобы у пользователя появились куки с этим CSRF, но это пока я теоретически думаю так, на практике не делал, и второй вопрос на сколько это безопасно сайт Б их будет много, сайт А один
Не все так просто и думаю что не пойдёт, говорят про cors но сайт а отдаёт ответ 500 если не получен csrf token key, 4 й день мучаюсь кто может реализовывал подобную схему?
Домен А мой Добавлено спустя 1 минуту 29 секунд: Есть еще идея отключить в том месте куда идет POST CSRF но пока хочу найти решение чтобы не отключать, возможно такое существует, 4й день ковыряюсь пока ни чего такого не нашел
Может на сайте A сделать доступным одну страницу без токена которую можно запросить и на этой странице выдавать токен, всё это разрешить сайту Б делать при предоставлении подписи. если подойдёт, напишу как.
Подойдет Добавлено спустя 16 минут 45 секунд: Сделал без токена страницу на сайте А Добавлено спустя 2 минуты 29 секунд: Задача еще усложнена тем что сайт А должен разрешать делать доступ к запросму только определенным доменам (или страницам) из списка разрешенных, и как то бы реализовать чтобы не ломанули или не заспамили, тут как то ключи нужно делать с БД схему не оч понят как реализовать
сайт Б отдавая страницу пишет в скрипте токен и его же кладет в базу. сайт А при получении запроса проверяет и уничтожает валидный токен. на инвалидный токен ничего не показывает соответственно.