У меня есть ситуация, когда Сервер A принимает запросы формы от Сервера B. Оба сервера находятся в одном домене. Обычно POST-запрос проверяется токеном CSFR на одном и том же сервере, но на разных серверах это сделать нелегко.
Решение, похоже, состоит в том, чтобы установить для маркера сеанса атрибут SameSite как "Lax". Это предотвратит отправку сторонним сайтом cookie сеанса в запросе POST.
Так что, пока Сервер B способен проверять подлинность сеанса, отправленного с Сервера A, будет ли это приемлемо безопасно?
Единственный аргумент, который я могу выдвинуть против этого, заключается в том, что злоумышленник может произвольно отправлять POST-запросы на сервер B в надежде, что они угадывают токен сеанса. Во-первых, это вряд ли удастся из-за обычных мер безопасности сеанса, а во-вторых, добавление токена CSRF в микширование просто делает энтропию маркера сеанса немного большей и незначительной.