Hi!

Sessionklau -> Clientproblem
Rechteprüfung -> Serverproblem

Ach bin ich dumm... Ich glaub jetzt hab ich es verstanden. Die gelesenen Daten werden bei CSRF ja nie beim Angreifer landen. Es geht ja "nur" darum Daten über den eingeschleusten Request zu manipulieren. Zum Beispiel eine Überweisung tätigen. Dabei kann der Angreifer auch nur das machen wofür das Opfer entsprechende Rechte hat. Er könnte das Opfer also zwar "lesen lassen", das würde ihm aber nichts bringen weil er die Daten nie sehen wird.
Die Token-Prüfung ergibt also nur Sinn wenn durch einen Link oder ein Formular Daten geändert werden, der Token muss also auch nur dort angehängt werden.

Sorry, manchmal dauert es ebend ein bisschen länger bis man das Astloch im Brett vor dem Kopf gefunden hat und die Welt dahinter sieht.

Danke für eure Geduld!

Norman