hallo

Hallo,

Ich würde ein CSRF-Token vorziehen.

vielleicht verstehe ich es jetzt nicht richtig, aber der ist (zufällig) ja genau der Grund für meine Frage. Ich erzeuge einen CSRF-Token beim Aufruf der Seite und der wird als Cookie gespeichert. Und dieser Cookie soll mit dem SameSite-Flag versehen werden. Wie kann ich das mit einen CSRF-Token umgehen? Oder meinst Du vielleicht, der Token wäre schon ausreichend und da ist dem Cookie mit SameSite-Flag nicht mehr notwendig?

Ein CSRF Token ist ein Token das von der SessionID abgeleitet ist, also durch die Session validiert werden kann.

Aber das CSRF-Token wird mit dem Inhalt gesendet, nicht als Cookie.

Man kann also jeden POST validieren, wenn das Token als Teil der POST-Daten gesendet wird.

Im Unterschied dazu wird ein Cookie gesendet, auch wenn der Auslöser nur dein eingebundenes Bild in einer fremden Seite ist.

Ich weiss jetzt nicht, wie genau SameSite wirken soll. Aber da die Unterstützung nicht grossartig ist und ein Browser auch vom User manipuliert werden kann, erscheint es mir ein sehr unzuverlässiges Pflaster zu sein.