Puis-je utiliser un cookie de session à la place de csrf?

Question

J'ai lu sur csrf et fiddliN autour de l'implémentation en utilisant go et gorilla toolkit. J'utilise également des sessions gorilla que j'ai implémentées pour stocker un identifiant d'utilisateur dans un cookie chiffré.

le cookie est décrypté et i chercher l'utilisateur du db avec le maintenant magasin non crypté valeur clé à l'aide d'un middleware j'ai écrit ...

si l'utilisateur crée le cookie de session d'authentification via un fournisseur de oauth2 , ai-je besoin d'implémenter la protection csrf si toutes les vues qui ont besoin d'une telle protection ne sont autorisées que pour les utilisateurs authentifiés?

Answer 1

Supposons qu'un utilisateur s'est connecté à votre site et a continué à naviguer sur Internet au cours de la même session. Ils tombent sur un autre site qui cible le vôtre avec malveillance, avec HTML ou JS qui amène le navigateur de l'utilisateur à faire une demande à un point de terminaison sur votre site. Cela contiendra le cookie de session de l'utilisateur pour votre domaine et aboutira à moins d'être protégé par un jeton CSRF.