DWR使用DWRSessionID令牌进行CSRF保护,并且它并未针对每个用户会话进行更改,这意味着从应用程序注销不会更改DWRSessionID,并且通过再次登录而无需关闭浏览器,我们将看到相同的DWRSessionID。
如果有人窃取了DWRSessionID并尝试通过电子邮件发送链接,则这可能是一个问题(CSRF),如果用户再次登录该应用程序,它将处理该链接,因为DWR在每个浏览器实例上使用相同的DWRSessionID而不是用户会话。
以上是CSRF真正的问题,还是可以使每个浏览器实例(而不是每个用户会话)具有相同的DWRSessionID。