Sto pentestando un'applicazione web che non usa un token anti-CSRF, ma usa parametri il cui nome contiene due punti. Uno dei parametri è, ad esempio, _pt1:p1:1:pc1:pageToolbar:t_id_
.
Quando faccio la pagina di invio automatico HTML con un elemento di input come questo:
<input type="hidden" name="pt1:p1:1:pc1:pageToolbar:t_id" value="1"/>
verrà inviato URL codificato, quindi non sarà corretto per l'applicazione. Questo significa che CSRF è impossibile?