Ho un token di sessione che è memorizzato in un lato client del cookie del browser. Il cookie è già disponibile per lo scripting e viene utilizzato per convalidare XHR tramite Javascript. Per una pagina particolare sto usando un iFrame per caricare i dati sul server. Ci sarebbero problemi, oltre a ciò a cui sono già esposto, includendo il token di sessione come campo nascosto nel mio iFrame?
Questo è un cattivo design. Dovresti impostare la bandiera HTTPOnly sui tuoi cookie perché rende xss più difficile da sfruttare (ma non impossibile). Se scrivi il valore del cookie sulla pagina, allora mina la protezione fornita da questo flag.
Perché stai includendo il valore del cookie in una variabile con ogni richiesta? Il punto di un cookie è che occupa l'elemento di intestazione http Cookie: di ogni richiesta ... che è ridondante. Non importa da dove provenga la richiesta, il browser tiene traccia del cookie. Questo è uno dei motivi per cui CSRF è un problema.
Leggi il foglio cheat di prevenzione CSRF e utilizza uno di questi metodi per proteggere il tuo richieste.
Leggi altre domande sui tag cookies session-management