Se sto navigando mentre sono connesso al mio pannello di hosting o router o qualsiasi altra applicazione, c'è una possibilità di essere violato da un CSRF exploit.
Quindi, la domanda qui riguarda l'utente o il lato client, non la protezione lato server contro gli attacchi CSRF .
Che cosa può fare un utente per essere più sicuro? Forse usare due browser, uno per account importanti, un altro per la navigazione?
Maybe use two browsers, one for those account, and another one for browsing?
Questa è probabilmente l'idea migliore in quanto offre il massimo della separazione. In questo modo i cookie di sessione classici non saranno condivisi tra i siti, anche se una condivisione di Silverlight e magari di ID di sessione basati su Java o Flash potrebbero ancora accadere. Nella maggior parte dei casi probabilmente sarà già sufficiente avviare un'istanza di Firefox / Chrome in modalità privata / in incognito.
Tuttavia, l'utilizzo di un altro browser o profilo browser per ciascun sito sensibile non è pratico in tutti i casi e probabilmente lo si farà solo per alcuni siti più sensibili come l'online banking o l'amministrazione del router. A parte questo, le richieste cross site valide sono in uso, ad esempio, in configurazioni di single sign on (ad esempio, l'accesso con Facebook, ecc.) O per l'utilizzo di fornitori di servizi di terze parti come Paypal. Per questi casi ci sono diverse estensioni del browser che aiutano a gestire CSRF e troverai alcuni esempi su Wikipedia - CSRF - Salvaguardia del lato client .
Un metodo consiste nell'utilizzare una finestra di navigazione privata o una sessione di navigazione in incognito Chrome in quanto queste nuove istanze del browser non condividono i cookie con il resto del browser, pertanto è offerta una protezione contro CSRF.
Tieni presente che queste sessioni condividono i cookie tra loro, quindi è consigliabile chiudere tutte le finestre private / in incognito e riavviare quando sei pronto per accedere a un nuovo sito.