Ha davvero senso usare i token anti-CSRF in un'applicazione web a cui si accede solo tramite HTTPS? Se sì, quali sono i modi possibili per attaccare una tale applicazione Web se i token anti-CSRF sono assenti?
Ha davvero senso usare i token anti-CSRF in un'applicazione web a cui si accede solo tramite HTTPS? Se sì, quali sono i modi possibili per attaccare una tale applicazione Web se i token anti-CSRF sono assenti?
Sì, ha senso. HTTPS non fa nulla per proteggerti dagli attacchi CSRF. Esegui un attacco CSRF come faresti contro un sito Web abilitato HTTP.
Dai un'occhiata alla descrizione CSRF di OWASP per capire come funziona. Sarà ovvio che la crittografia del canale di comunicazione è irrilevante per questo tipo di attacco.