Nella mia app (incorporata in Codeigniter), gli utenti possono inviare aggiornamenti di stato. Durante l'invio di moduli, Codeigniter fornisce automaticamente un cookie nascosto. Posso convalidare quel cookie tramite AJAX quando l'utente invia l'aggiornamento, quindi la protezione CSRF funziona alla grande.
Il problema si presenta quando sto usando AJAX per inviare / caricare dati senza un modulo (come eliminare un aggiornamento di stato). In questi casi, poiché non esiste un modulo, non esiste un cookie generato automaticamente. Ho capito che posso usare il cookie che crea l'aggiornamento di stato per eliminarlo (e ho limitato la funzione di eliminazione al creatore di stato).
Ma l'utilizzo del cookie per la creazione dello stato per eliminare l'aggiornamento dello stato viola un principio di sicurezza? Il cookie deve scadere (o essere diverso dal cookie di creazione?), E in tal caso, come posso generare un altro cookie che verrà collegato all'aggiornamento di stato corretto?