TL; DR. Почему плохо помещать токен CSRF в параметр запроса GET?
Настроить на проблему.
У меня есть поисковая форма в приложении SaaS, где токен CSRF внедряется для каждой формы, включая формы GET. Мне это кажется плохим, но я не могу сформулировать почему, и меня просят.
Весь трафик зашифрован. Таким образом, параметры GET не могут быть обработаны проволокой и очищены.
Худший сценарий, который я вижу здесь, это какая-то социальная инженерия, когда злонамеренный актер просит кого-то скопировать URL, а пользователь просто передает его, не думая, что это опасно.
В противном случае я не могу придумать сценарий, в котором возможен взлом хаком, если хакер не попытается настроить человека в среднем сценарии, и в этом случае они, вероятно, будут настроены на худшее. вещи без этого CSRF-токена.
что мне здесь не хватает?