И так и эдак кручу, и всякую дичь про «Remember me»-куку читаю, и всё равно ни с какого боку не могу понять, каким образом галка «Remember me» в принципе может быть совместима с защитой от CSRF.
Там же вся идея в том, что при редиректе/сабмите с bad.com на good.com, браузер передаст куки good.com и залогинет юзера. Какая разница, будет там простенький session id или навороченная хрень? Оба же передадутся, оба залогинят юзера, и привет CSRF. Разница НЯП только в невозможности брутфорса навороченного session id.
Единственный способ защиты от CSRF – вообще не использовать куки, гнать session id вручную (заголовком или в теле), но тогда сессия теряется при закрытии вкладки.
Linux.org.ru: Форум — Security
Ваша реакция?
+1
+1
+1
+1
+1
+1
+1