Как получить доступ на локалке к своему удалённому серверу, если стоит защита от CSRF?

Только вот тут не запросы фиксить надо, а ответы )) Надо чтобы бэкенд принимающий запросы разрешил кроссдоменные запросы. Куки и хэдеры с клиента не спасут.

Алексей Ярков, вы о CORS? Как в Access-Control-Allow-Origin указать локалку, просто localhost:3000?)

lil_web, у вас есть доступ к бэкенду?

Алексей Ярков, вы не понимаете что такое Cross-Site-Request-Forgery

При выполнении CSRF атакущий имеет возможность передать запрос серверу с помощью браузера пользователя

Т.е. речь идет именно о том что запросы идут от браузера пользователя, где на атакуемый сайт уже заведены куки с сессией авторизации.

Так как топиккастеру нужно автоматическими средствами брать данные с сервера и заливать их на новый, идет классическая подделка запросов - заходим на сайт как легитимный пользователь в режиме логирования сетевых запросов (F11 - закладка network - start) смотрим какой запрос выполнился, нажимаем на нем правую кнопку и копируем в буфер готовую команду например curl с забитыми полями куками и реферером.

rPman, посыпаю голову пеплом.
Я был невнимателен и решил, что речь именно о CORS. Сорян

Алексей Ярков, могу попросить что-то изменить.

rPman, нужные куки отправляются после того, как я добавил в axios withCredentials: true, но всё равно приходит CSRF alert. Может нужно, чтобы сервер установил Access-Control-Allow-Origin не в *, а строго в localhost:3000?

единственный способ определить сервером что вы послали не от туда - это заголовки, проверьте что вы указали правильный реферер например

правильный запрос смотрите в браузере, в инспекторе, когда зхаходите на сайт по нормальному адресу

ну и да, вам как я понимаю разработчик дал страницу где проверка не стоит. в чем проблема ее использовать?

rPman, разве можно задать заголовок Referer в axios?

lil_web, а
Нет, а зачем вы из браузера это делаете? Вам же никто не мешает, если вы хотите писать на javascript, делать все на том же nodejs?

rPman, мне нужно просто получить данные в приложение на Реакте.

lil_web, вот и делайте это не из браузера а из консольного приложения на nodejs если вы знаете только javascript.

rPman, извините, мне нужно только из браузера с помощью fetch или axios.

это особенность уровня безопасности в браузерах, защищающая от сайтов злоумышленников, чтобы они не выполняли в тихушку скрытно запросы под вашим логином на сторонних сайтах.

С некоторыми оговорками, вы можете игнорируя CORS делать GET запросы но в любом случае для этого должа быть поддержка от разработчика вебсайта.

Так что селяви, только если вам это разрешить администратор

rPman, что нужно попросить у администратора?

lil_web, мелочь, попросите выдать права на какой-нибудь домен, даже не существующий, для красоты пусть это будет какой-нибудь поддомен третьего уровня (кстати это можно проверить, может заработает без каких либо донастроек), типа devtest.mysite.com

Вы же в свою очередь прописываете локально в hosts (c:\windows\system32\drivers\etc\hosts открывать под администратором это текстовый файл) куда-нибудь строчку вида
127.0.0.1 devtest.mysite.com
и работаете локально уже не с localhost а с devtest.mysite.com (в некоторых случаях нужно в настройках вашего локального веб сервера прописать этот же devtest.mysite.com но обычно не требуется)

и работаете

rPman, спасибо! А как это сделать на Маке?

lil_web, https://www.techjunkie.com/edit-hosts-file-mac-os-x/
как вы вообще умудрились стать программистом, если просто гуглить не умеете?

rPman, спасибо, я только хочу им стать.

rPman,

попросите выдать права на какой-нибудь домен, даже не существующий

Что конкретно нужно попросить у владельца домена? Какие права?

Вы же в свою очередь прописываете локально в hosts

То есть я потом буду писать yarn start и по http://localhost:3000/ мой запросы будут отправляться, как будто я на требуемом сайте?

заходить будете на devtest.mysite.com который будет ваш локальный сайт открывать

rPman, спасибо. А какие права попросить у владельца сайта? Или просто сказать создать несуществующую страничку?

владелец должен добавить в настройки cors.txt что то типа этого:
Access-Control-Allow-Origin: devtest.mysite.com
вполне возможно что у него там уже стоит *.mysite.com (так делают если уже сайт мультидоменный) тогда ничего менять не понадобится.

rPman, я решил проблему! У меня не получилось сделать, что вы предлагаете, но я пообщался с командой, и оказалось, что на сервере в файле разрешается доступ к АПИ для запросов со специальным Origin. Я попросил добавить определённый параметр с Referer, чтобы мог работать на локалке. Всё равно спасибо вам за помощь. Ура!