Является ли https предварительным условием для подхода с использованием токена csrf для предотвращения атак csrf?

Question

При подходе с использованием токена csrf, когда сервер отправляет форму клиенту, он также отправляет токен csrf. И когда клиент заполняет форму и отправляет ее на сервер, сервер проверяет, совпадает ли токен с тем, который он отправил вместе с формой. Этот метод предотвращает атаку csrf, потому что хакер не может угадать значение токена csrf при попытке сгенерировать почтовый запрос формы.

Правильно ли я говорю, что https является предварительным условием для подхода с использованием токена csrf для предотвращения атак csrf? В противном случае, если это был HTTP-запрос, хакер может перехватить форму, токен, внести изменения и снова отправить форму.

Answer 1

Я бы сказал нет -как концепт-, поскольку можно было бы сказать, что атака csrf возможна через соединение https с использованием, например, устаревшего протокола TLS, поэтому ¿Требуется ли TLS v1.3 для предотвращения атак csrf? Конечно, https добавит еще один уровень защиты для соединения, но на концептуальном уровне я бы сказал, что https не является «обязательным» для работы токена CSRF, но на практике он используется.

OW ASP сам говорит:

«HTTPS сам по себе не защищает от CSRF. Тем не менее, HTTPS следует рассматривать как необходимое условие для того, чтобы ЛЮБЫЕ превентивные меры были НАДЕЖНЫМИ».