Tengo un token de sesión que está almacenado en un lado del cliente de cookies del navegador. La cookie ya está disponible para secuencias de comandos y se utiliza para validar XHR a través de Javascript. Para una página en particular, estoy usando un iFrame para cargar datos en el servidor. ¿Habría algún problema, más allá de lo que ya estoy expuesto, al incluir el token de sesión como un campo oculto en mi iFrame?
Este es un mal diseño. Debería configurar la bandera HTTPOnly en sus cookies porque hace que xss sea más difícil de explotar (pero no imposible). Si escribe el valor de la cookie en la página, esto socava la protección proporcionada por esta bandera.
¿Por qué incluye el valor de la cookie en una variable con cada solicitud? El punto de una cookie es que ocupa el elemento de encabezado http Cookie: de cada solicitud ... que es redundante. No importa de dónde se origina la solicitud, el navegador realiza un seguimiento de la cookie. Esta es una de las razones por las que CSRF es un problema.
Lea la hoja de trucos de prevención de CSRF y use uno de estos métodos para proteger su peticiones.
Lea otras preguntas en las etiquetas cookies session-management