2
ステートレス(=セッションレス)認証を使用する場合、CSRFトークンは必要ですか?
アプリケーションがステートレス認証(HMACなどを使用)に依存している場合、CSRF保護を使用する必要がありますか? 例: シングルページアプリがあります(そうでない場合、各リンクにトークンを追加する必要があります:)<a href="...?token=xyz">...</a>。 ユーザーはを使用して自分自身を認証しPOST /authます。認証が成功すると、サーバーはトークンを返します。 トークンは、JavaScriptを介して、単一ページアプリ内の変数に格納されます。 このトークンは、などの制限されたURLへのアクセスに使用されます/admin。 トークンは常にHTTPヘッダー内で送信されます。 HttpセッションもCookieもありません。 私が理解している限り、ブラウザはトークンを保存しないため、クロスサイト攻撃を使用する可能性はありません(?!)。したがって、サーバーにトークンを自動的に送信することはできません(Cookies /セッション)。 何か不足していますか?