В отчете AppScan указывается, что у моего сайта есть некоторые проблемы с подделкой межсайтовых запросов.
1-) Использование токенов в формах - хорошее решение, но в отчете есть страницы без форм, такие как страница «Выход из системы». Это просто убивает сеанс, и это все, как CSRF может использовать его там, я не понимаю.
2-) Проверка «Реферер» является хорошим решением? Все говорят нет. И «Заголовок Referer» присутствует не всегда.
3-) Cookies от того же сайта показаны как окончательное решение, но я вообще не использую cookie.
Что нужно сделатьсмягчить CSRF?