È necessario utilizzare CSRF Protection quando l'applicazione si basa su un'autenticazione senza stato (utilizzando qualcosa come HMAC)?
Esempio:
Abbiamo una pagina singola applicazione (altrimenti dobbiamo aggiungere il segnalino su ogni link:
<a href="...?token=xyz">...</a>
.L'utente si autentica utilizzando
POST /auth
. In caso di autenticazione riuscita, il server restituirà un token.Il token verrà memorizzato tramite JavaScript in una variabile all'interno dell'app a pagina singola.
Questo token verrà utilizzato per accedere a URL limitati come
/admin
.Il token verrà sempre trasmesso all'interno delle intestazioni HTTP.
NESSUNA sessione HTTP e NESSUN cookie.
Per quanto ho capito, non dovrebbe esserci (?!) alcuna possibilità di utilizzare attacchi cross-site, perché il browser non memorizzerà il token e quindi non può inviarlo automaticamente al server (questo è ciò che accadrebbe quando si utilizzano i cookie / Sessione).
Mi sto perdendo qualcosa?