Покажите короткий пример по теме «CSRF tokens» и объясните, что здесь важно.

PHPMiddleBackend and APIТеорияphpbackendapicsrf-tokensphp-backend-developerbackend-and-api

Что хотят услышать интервьюеры:

Короткий пример по теме CSRF tokens:

Ответ:

<?php $_SESSION['csrf'] = bin2hex(random_bytes(32));

Что важно: код должен быть безопасным, читаемым и соответствовать контракту задачи. Для PHP-разработчика важно объяснить не только «как написать», но и «почему так безопаснее/надежнее».

  • актуальна для cookie-based auth
  • проверяется на state-changing запросах
  • SameSite помогает, но не всегда заменяет token

Типичная ошибка: отключать CSRF во всех формах ради удобства.

На собеседовании: проговорите, какие edge cases вы бы проверили тестами и что бы логировали при ошибке.

Источники

Похожие вопросы

Backend and API Что такое CSRF tokens в PHP-разработке и зачем это спрашивают на собеседовании? Backend and API Что такое GraphQL basics в PHP-разработке и зачем это спрашивают на собеседовании? Backend and API Что такое HTTP request lifecycle в PHP-разработке и зачем это спрашивают на собеседовании? Backend and API Что такое OAuth 2.0 basics в PHP-разработке и зачем это спрашивают на собеседовании?