TL; DR为什么将CSRF令牌放在GET请求参数中会很糟糕?
设置问题。
我在SaaS应用上有一个搜索表单,其中为包括GET表单在内的每种表单都注入了CSRF令牌。这对我来说似乎很糟糕,但我无法阐明原因,并被要求这样做。
所有流量均已加密。因此,不能对GET参数进行钢丝剃刮和刮刮。
我在这里看到的最糟糕的情况是某种社会工程,恶意行为者会要求某人复制该URL,而用户只是将其移交给它却没有意识到这很危险。
否则,我真的无法想到这样一种情况:没有黑客就不会在中间情况下设置男人的麻烦,就可以通过黑客来驱车,在这种情况下,他们可能会变得更糟没有CSRF令牌的事情。
我在这里想念什么?