Recientemente hemos recibido un informe de vulnerabilidad que indica que uno de nuestros formularios HTML en una de las aplicaciones internas no está protegido por CSRF. Al principio, no pudimos reproducirlo de forma manual de forma inmediata utilizando las herramientas de desarrollo que buscaban en los encabezados y las cookies, encontrando el XSRF-TOKEN
presente en los encabezados.
Pero luego, reproducimos el problema en la pestaña de incógnito o en un navegador "limpio". El problema fue en el primer intento de inicio de sesión solamente. Parece que en el momento en que se publica la primera solicitud de inicio de sesión, el cliente todavía no tiene el token XSRF , ya que esta es la primera interacción entre el cliente y el servidor.
¿Sigue siendo una vulnerabilidad y debería solucionarse si solo se reproduce en la primera solicitud de inicio de sesión? ¿Cómo se aborda este tipo de problema en general? Probablemente deba haber algún tipo de interacción cliente-servidor antes del envío del formulario de inicio de sesión para que el cliente obtenga el token XSRF de antemano.