Из моей лекции на owasp.org они рекомендуют шаблон токена синхронизатора и не поощряют использование файлов cookie с двойной передачей.
Шаблон токена синхронизатора предполагает использование сеанса.У меня есть причины НЕ хотеть использовать сеансы (низкая производительность в среде с высоким трафиком, и их трудно разделить между несколькими машинами).Так как у меня остались файлы cookie с двойной передачей, мне нужно понять, почему они могут быть не такими безопасными, как сеансовый подход.
В статье owasp.org упоминается XSS как потенциальная проблема (поскольку включение идентификатора сеанса в форму HTML можно прочитать через JS), но эта проблема также может возникнуть с токенами синхронизатора (так как онитоже включены в формы как скрытые поля).Короче говоря, XSS делает любую защиту CRSF бесполезной (и если вы разрешите XSS, то, вероятно, CSRF не является вашей самой большой проблемой).
Так есть ли причины, по которым я должен избегать файлов cookie с двойной передачей?