Google è un esempio famoso di non che blocca CSRF su logout / logoff pages.
Some vulnerability reporters contact us about the ability to log out Google users by navigating their browser to a particular URL. In some ways, this behavior is undesirable, but we believe that it cannot be reliably addressed on the modern web: for example, malicious websites may also simply overflow the browser cookie jar and drop your authentication cookies for other websites on the Internet.
La risposta più popolare al giorno L'azione di login e disconnessione deve avere la protezione CSRF? non è d'accordo, citando i problemi di phishing. La seconda risposta più popolare dice che non è necessario, ma l'attacco potrebbe causare inconvenienti. La terza risposta dice che la protezione è un must.
Perché Google prende una posizione contraria qui? Perché Google mantiene questa posizione e / o, perché così poche persone sembrano essere d'accordo?
Nota: Numerosi luoghi online fanno riferimento al fatto che Google abbia discusso di questo "annuncio alla nausea", ma non ho trovato le discussioni effettive.
Modifica : non è solo Google, ma molti siti importanti lo fanno.
Modifica 2 : questa domanda non è un duplicato di L'azione di login e disconnessione deve avere la protezione CSRF? perché non sto chiedendo se una pagina debba avere la protezione CSRF di disconnessione o meno. Sto chiedendo
- Che ragionamento di Google per la loro posizione è (hanno fornito solo una parte del loro ragionamento nell'estratto citato) e
- Perché c'è un'apparente divisione tra Google e le risposte a questa domanda.
Questa domanda cerca principalmente di decomprimere il ragionamento per la decisione sulla sicurezza di Google, un caso di studio dettagliato piuttosto che un trattamento ampio.