nur mal zu meinem Verständnis:
für CSRF bedarf es einiger Voraussetzungen
- Session-basierte Anwendung
- der betreffende User muss angemeldet sein
- der Angreifer muss den Aufbau der Seite kennen
- der Angreifer muss dem User die gefälschte Seite unterschieben
Wie oft kann der Angreifer den User dazu veranlassen, die präparierte Seite aufzurufen, so dass der Angreifer verschiedene Werte für den Token ausprobieren kann? Ich denke, nur wenige Male.
Weshalb muss dann der Token kryptografisch sicher sein, hab ich einen Denkfehler?