In parole semplici, i token CSRF possono essere eliminati dalle risposte dal server a meno che la richiesta / risposta non venga trasmessa tramite crittografia. È abbastanza preoccupante da preoccuparsi o è ragionevole consentire la trasmissione del token CSRF tramite testo in chiaro?
Nel nostro caso, il framework che stiamo utilizzando prevede esattamente un token CSRF per sessione e la nostra applicazione ha sia moduli HTTP che HTTPS da proteggere. La mia preoccupazione è che un utente malintenzionato possa annusare il token CSRF mentre la vittima sta visitando una pagina HTTP con un modulo su di esso e quindi invogliare la vittima a visitare una pagina HTTPS dannosa che invia a un gestore di richieste HTTPS più sensibile sulla nostra applicazione con la corretta Token CSRF (messo lì dall'attaccante che lo ha annusato prima).