Является ли использование GET с tokenID для безопасности хорошей идеей?

Question

Я думал об этом , и кажется, что ПОЧТА только немного менее уязвима и несколько сложнее (нужно, чтобы пользователь что-то щелкал).

Я читал об идентификаторах токенов и двойных отправленных куки, и я не уверен, в чем разница

http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies

Прямо сейчас у меня есть идентификатор пользователя (PK в моей таблице) и идентификатор сеанса, так что вы не можете просто изменить свой идентификатор cookie и действовать как кто-то другой. Теперь мне кажется, что я помещаю идентификатор сессии в качестве токена в каждую из моих форм и проверяю их, потому что злоумышленники не могут угадать эти токены. Однако мне не нравится идея разместить идентификатор сессии на странице, чтобы увидеть ее. Но на самом деле, есть ли проблема с этим? если у пользователя нет копии / вставки html, существуют ли какие-либо атаки, которые могут произойти из-за того, что идентификатор сеанса отображается в виде html?

Answer 1

Если пользователь может скопировать ссылку с токеном, это очень небезопасно. Аналогично для текущего адреса: если вы используете статический идентификатор сеанса, ссылка на внешний сайт или снимок экрана сделают сеанс скомпрометированным. Даже если у вас нет статического идентификатора сеанса, пользователь может навести указатель мыши на ссылку, и она отобразится в нижней части браузера, а затем сделать снимок экрана, что снова сделает его сеанс скомпрометированным.

Answer 2

Идентификатор сеанса в любом случае известен на стороне клиента. Как еще они отправили бы это с запросами?