2
CSRF-Token bei Verwendung der zustandslosen (= sitzungslosen) Authentifizierung erforderlich?
Ist es erforderlich, CSRF-Schutz zu verwenden, wenn die Anwendung auf einer zustandslosen Authentifizierung basiert (unter Verwendung von HMAC)? Beispiel: Wir haben eine App für eine einzelne Seite (andernfalls müssen wir das Token an jeden Link anhängen : <a href="...?token=xyz">...</a>. Der Benutzer authentifiziert sich mit POST /auth. Bei erfolgreicher Authentifizierung gibt …