我遇到一种情况,服务器A接受来自服务器B的表单请求。两个服务器都在同一域中。通常,在同一台服务器上时,将通过CSFR令牌来验证POST请求,但这在其他服务器上不容易实现。
一种解决方案似乎是将会话令牌设置为具有SameSite属性为“ Lax”。这样可以防止第三方站点在POST请求中发送会话Cookie。
只要服务器B能够验证从服务器A发送的会话的真实性,这是否可以接受地安全?
我能想到的唯一论点是,攻击者可以向服务器B随机发送POST请求,以希望他们猜到会话令牌。首先,由于正常的会话安全措施,这种方法不太可能成功;其次,将CSRF令牌添加到组合中只会使会话令牌的熵变大而不是那么大。