Si estoy navegando mientras estoy conectado a mi panel de hosting o enrutador o cualquier otra aplicación, existe la posibilidad de ser hackeado por un CSRF exploit.
Por lo tanto, la pregunta aquí es acerca de la protección del usuario o del lado del cliente, no del lado del servidor, contra los ataques CSRF .
¿Qué puede hacer un usuario para estar más seguro? ¿Tal vez usar dos navegadores, uno para cuentas importantes y otro para navegar?
¿Puede usar dos navegadores, uno para esas cuentas y otro para navegar?
Esta es probablemente la mejor idea, ya que ofrece la mayor separación. De esta manera, las cookies de sesión clásicas no se compartirán entre los sitios, aunque es posible que se sigan compartiendo los identificadores de sesión de Silverlight y quizás de Java o Flash. En la mayoría de los casos, probablemente ya sea suficiente para iniciar una instancia de Firefox / Chrome en modo privado / de incógnito.
Pero el uso de otro navegador o perfil de navegador para cada sitio sensible no es práctico en todos los casos y uno probablemente lo hará solo para algunos sitios más confidenciales como la banca en línea o la administración del enrutador. Además de eso, las solicitudes válidas entre sitios están en uso, por ejemplo, en configuraciones de inicio de sesión único (es decir, iniciar sesión con Facebook, etc.) o para utilizar proveedores de pago externos como Paypal. Para estos casos, hay varias extensiones de navegador que ayuda para tratar con CSRF y verá algunos ejemplos en Wikipedia - CSRF - Protección del lado del cliente .
Un método es usar una ventana de navegación privada o una sesión de Chrome Incognito, ya que estas nuevas instancias del navegador no comparten cookies con el resto del navegador, por lo que se ofrece protección contra CSRF.
Tenga en cuenta que estas sesiones comparten cookies entre sí, por lo que se recomienda cerrar todas las ventanas privadas / de incógnito y reiniciarlas cuando esté listo para iniciar sesión en un sitio nuevo.