私は現在行っているプロジェクトで Python 用の Facebook の Tornado Web エンジンを使用しており、XSRF 保護の実装を計画していましたが、少し混乱しました。
通常のリクエストでは、「_xsrf」Cookie が見つからない場合はユーザーのブラウザに設定し、ブラウザがリクエストで送信した HTML フォームの値に埋め込まれた値と照合します。
攻撃者が次のようなことをしたとしましょう。
<img src="blah.com/transfer_money?account=0098&destination=0099&_xsrf=
(whatever the client's cookie contains)" title="cool image" />
攻撃者が Cookie を完全に使用するのを防ぐにはどうすればよいですか? 私が知る限り、XSRF に使用される Cookie は、check_xsrf_cookie メソッドと実際に XSRF トークンを生成する xsrf_token メソッドの両方から「安全」ではありません。何か足りないのでしょうか...?