TL;DR 为什么将 CSRF Token 放在 GET 请求参数中是不好的?
设置问题。
我在 SaaS 应用程序上有一个搜索表单,其中为每个表单(包括 GET 表单)注入 CSRF 令牌。这对我来说似乎很糟糕,但我无法解释为什么而且我被要求这样做。
所有流量均已加密。所以 GET 参数不能被钢丝刮擦。
我在这里看到的最糟糕的情况是某种社会工程,其中恶意行为者会要求某人复制 URL,而用户只是将其交出而不认为这很危险。
否则我真的想不出这样一种情况,如果黑客不费心在中间场景中设置一个人,那么黑客驱动是可能的,在这种情况下,如果没有这个,他们可能会被设置为做更糟糕的事情CSRF 令牌。
我在这里想念什么?