Esto es algo que no he podido envolver, si BREACH permite filtrar información, ¿tenemos que enmascarar o generar el token CSRF de forma temporal o por solicitud para hacerlo más seguro?
Hasta donde sé, el token CSRF basado en sesión puede protege al usuario de CSRF muy bien . Pero, ¿qué tan preciso es esto en el contexto con respecto a SSL? El problema aquí ya no es si el atacante puede realizar CSRF, sino si tal token de CSRF se puede extraer de HTTPS con la compresión activada, ¿incluso se puede usar para filtrar otra información?
Básicamente, estoy preguntando si esto La pregunta anterior ahora tiene una respuesta diferente.