Tach!

Nun habe ich die Empfehlungen des BSI zur Websicherheit berücksichtigen wollen und auch einen CSRF-Schutz eingebaut. Nunmehr wird der 1. Download getätigt, aber weitere scheitern am CSRF-Schutz.

Weil der Token am Server nicht mehr derselbe ist. Du müsstest die Formularseite erneut mit gültigem Token aufrufen.

Könnt Ihr mir einen Tipp geben, wie ich mehrfaches Absenden und CSRF unter einen Hut kriege?

Bei der Gelegenheit, ich muss zugeben, ich habe den CSRF-Schutz mechanisch zugefügt. Die Beispiele für Gefährdungen sind ja soweit auch einleuchtend, aber ich kann jetzt nicht beurteilen, ob mein spezieller Anwendungsfall durch CSRF gefährdet ist. Was meint Ihr dazu?

Das musst du selbst einschätzen. CSRF ist ein Problem, wenn der Request Daten ändert und der Nutzer dafür angemeldet sein muss. Wenn der Download-Request keine Daten ändert, muss er auch nicht gegen CSRF gesichert sein.

dedlfix.