Куки CSRF, безусловно, открыт для атаки, но реализация в безопасности, как значение сеанса всегда будет проверяться на поданное значение токена, которое хранится в теле или заголовке запроса, поэтому я не вижу причины. Двойная подача (http only cookie vs post data) или токен-синхронизатор (сеанс против сообщений) шаблоны, изложенные на веб-сайте OWASP, являются хорошими оценками и оба используют файлы cookie.
Двойной, как упоминалось ранее, перемещает хранилище клиенту, поэтому считается апатридом, но в любом случае два токена для сравнения, из которых всегда остается неизвестным злоумышленнику.
Я не эксперт во всех тонкостях, но для меня было бы контрпродуктивно сохранить его в файле cookie. Если пользователь недавно был на сайте, у него есть правильный файл cookie, чтобы обойти проверку. Если вы поместите его в форму, вы знаете, что эта самая форма и ничего больше не генерирует cookie. –
Как насчет добавления токена csrf в строке запроса вместо скрытого файла, вы думаете, что лучше использовать cookie? благодаря – ginad