2
Token CSRF jest potrzebny podczas korzystania z uwierzytelniania bezstanowego (= bezsesyjnego)?
Czy konieczne jest stosowanie ochrony CSRF, gdy aplikacja opiera się na uwierzytelnianiu bezstanowym (przy użyciu czegoś takiego jak HMAC)? Przykład: Mamy jedną aplikację, stronę (w przeciwnym razie mamy do dołączania żeton na każdym linku: <a href="...?token=xyz">...</a>. Użytkownik uwierzytelnia się za pomocą POST /auth. Po pomyślnym uwierzytelnieniu serwer zwróci pewien token. …