"Questo flusso di codice monouso ha vantaggi in termini di sicurezza ..." L'affermazione è assolutamente valida considerando uno degli attacchi più pericolosi che una applicazione web possa subire. Si tratta del Cross Site Request Forgery (CSRF in breve).
Prima di spiegare il vantaggio del codice monouso, lasciami chiarire il concetto di CSRF. CSRF è il numero 8 nell'elenco OWASP delle vulnerabilità più pericolose del 2013. Se un'applicazione Web è vulnerabile a CSRF, è possibile eseguire qualsiasi script per l'hacker a livello dell'utente, a condizione che l'utente debba accedere. accade che l'attaccante crei url o richieste POST contenenti codici dannosi, che possano essere anche i codici JS per prelevare i cookie di sessione dell'utente e inviarli all'hacker. Ora questi URL vengono inviati all'utente di destinazione tramite e-mail e chat. Le richieste POST sono implementate nel proprio sito dall'hacker e il collegamento viene dato alla vittima nello stesso modo. Poiché l'utente ha effettuato l'accesso, dopo aver fatto clic sul collegamento, gli script nascosti verranno eseguiti dall'utente finale e quest'ultimo viene violato.
L'unico metodo di prevenzione contro CSRF è implementando i token in ogni pagina. Una volta che l'utente accede al proprio account, il server assegna i token CSRF a ciascuna pagina dell'applicazione Web. Ora che ogni volta che si fa clic sui collegamenti, il token CSRF viene inviato al server e il server fornisce l'autorizzazione solo se accetta tale token. Quello che devi pensare che un link cliccato da e-mail o chat avrà un token CSRF diverso e quindi impedisce questo attacco.