Un sito web basato su Apache Struts utilizza central authentication service (cas)
per l'accesso. Mi piacerebbe sapere se è necessario fornire una protezione aggiuntiva di csrf
con Struts nel caso in cui cas
non lo fornisca.
Inoltre, quando vengono inviate le credenziali, cas
genera un token nel modulo URL. Se copio questo URL e lo uso in un secondo momento, l'utente viene autenticato e reindirizzato alla pagina iniziale.
Dato che non sto effettuando l'accesso, ma semplicemente usando l'URL del token, perché sta succedendo questo? Si tratta di una vulnerabilità di sicurezza?