アプリケーションがステートレス認証(HMACなどを使用)に依存している場合、CSRF保護を使用する必要がありますか?
例:
シングルページアプリがあります(そうでない場合、各リンクにトークンを追加する必要があります:)
<a href="...?token=xyz">...</a>
。ユーザーはを使用して自分自身を認証し
POST /auth
ます。認証が成功すると、サーバーはトークンを返します。トークンは、JavaScriptを介して、単一ページアプリ内の変数に格納されます。
このトークンは、などの制限されたURLへのアクセスに使用されます
/admin
。トークンは常にHTTPヘッダー内で送信されます。
HttpセッションもCookieもありません。
私が理解している限り、ブラウザはトークンを保存しないため、クロスサイト攻撃を使用する可能性はありません(?!)。したがって、サーバーにトークンを自動的に送信することはできません(Cookies /セッション)。
何か不足していますか?