Есть ли возможность защиты от CSRF путем добавления Token в адрес ссылки средствами JavaScript?
Доброго времени суток!
Я хотел бы узнать ваше мнение, какие возможные уязвимости остаются в защите от CSRF, если при любом событии $("a").on("click", ...)
мы вызываем функцию, которая добавляет в нашу ссылку аргумент с Token, который используется для валидации операции?
Какой риск изъятия Token, тоесть можем ли мы использовать в его роли соленый хэш от ключа сессии пользователя?
Риск изъятия Token исходит от потенциальных уязвимостей XSS ресурса или стоит обратить внимание на что то еще?
Я знаю, что на эту тему имеется достаточно много литературы, поэтому заранее хотел попросить не ограничиваться ссылками на мануалы, а немного подискутировать на представленную тему.
PS: Я понимаю, что использование случайных Token ключей безусловно надежнее.
Средний
