Un sitio web basado en Apache Struts utiliza central authentication service (cas)
para iniciar sesión. Me gustaría saber si es necesario proporcionar protección adicional csrf
con Struts en caso de que cas
no proporcione eso.
Además, cuando se envían las credenciales, cas
genera un token en forma de URL. Si copio esta URL y la uso más tarde, el usuario se autentica y se redirige a la página de inicio.
Como no estoy iniciando sesión, pero solo uso la URL del token, ¿por qué sucede esto? ¿Es esto una vulnerabilidad de seguridad?