Hallo Martin,

das ist mir in der Tat entgangen. Und ich kann mir auch nicht vorstellen, wie durch einen falschen Redirect innerhalb derselben Domain, also unmittelbar in deinem Einfluss- und Wirkungsbereich, ein Problem entstehen sollte. Wer gefälschte Angaben sendet, landet halt irgendwo anders innerhalb des Angebots - so what? Selber schuld.
Die Berechtigung zum Abruf bestimmter Ressourcen wird ja sowieso noch überprüft.

Die Berechtigung ist ja gerade der Punkt. Der Trick bei CSRF-Attacken ist ja, dass man Requests zusammen bastelt, die einen irgendwohin schicken, damit etwas mit der Rechten des Users ausgelöst wird. Im alten CForum konnte man z.B. Anfangs die URL zum löschen eines Postings als Bild-URL eintragen. Hat dann ein Admin das Posting mit der Bild-URL geöffnet, wurde das referenzierte Posting gelöscht - ein Fehler in der Architektur, der dann mit einem CSRF-Token behoben wurde.

Ich verwende hier zwar auch ein CSRF-Token, aber aus dem Bug habe ich halt gelernt sehr vorsichtig zu sein solche Schwachstellen zu öffnen. Ich kann mir konkret gerade auch keinen Angriff vorstellen, aber ich bin auch kein security researcher.

Nicht dass ich auf einen Umbau drängen will - ich möchte nur deine Bedenken verstehen können.

Alles gut, kritisch zu hinterfragen ist sinnvoll und richtig! Ich habe die Weisheit weder mit Löffeln gefressen noch sie für mich gepachtet ;-)

LG,
CK