Un sito su cui lavoro ha un link che scarica e apre un PDF contenente dati utente sensibili. Il cookie di autenticazione dell'utente viene controllato sul lato server per garantire che abbiano accesso ai dati prima di generare e servire il PDF. Tuttavia, mi sono preoccupato per la prospettiva di dati trapelati da un attacco CSRF. Poiché il PDF viene aperto dall'utente facendo clic su un ordinario <a> link, la maggior parte delle difese CSRF non sono vitali o implicano sicurezza o compromessi UX. Ad esempio:
- L'aggiunta di un'intestazione personalizzata con un token CSRF o il doppio invio del token di autenticazione tramite un'intestazione richiederebbe l'utilizzo di un XHR tramite JavaScript per effettuare la richiesta per il PDF e interromperà la possibilità dell'utente di aprire il collegamento in una nuova scheda
- L'aggiunta di qualsiasi tipo di token all'URL del link renderebbe l'URL meno leggibile e user-friendly
Ho ragione ad essere preoccupato per CSRF in questo scenario, o la stessa politica di origine è sufficiente per farmi basare solo sull'autenticazione dei cookie per questo endpoint senza timore di perdite di dati utente? Il tipo di attacco che sto immaginando è simile al famoso difetto di Gmail CSRF che ha trapelato la tua lista di contatti - sono preoccupato che provocando il download in un modo che fa scattare alcuni effetti collaterali nel browser, un sito di attacco potrebbe fare inferenze su il contenuto del PDF, anche se non ho idea di quale sarebbe il meccanismo preciso di un tale attacco.