En pocas palabras, los tokens CSRF se pueden eliminar de las respuestas del servidor a menos que la solicitud / respuesta se transmita mediante cifrado. ¿Es esto una preocupación suficiente para preocuparse, o es razonable permitir que el token CSRF se transmita a través de texto sin formato?
En nuestro caso, el marco que utilizamos proporciona exactamente un token CSRF por sesión y nuestra aplicación tiene formularios HTTP y HTTPS para proteger. Mi preocupación es que un atacante podría detectar el token CSRF mientras la víctima está visitando una página HTTP con un formulario y luego incitar a la víctima a visitar una página HTTPS maliciosa que publica en un controlador de solicitudes HTTPS más sensible en nuestra aplicación con la información correcta. El token CSRF (colocado allí por el atacante que lo olfateó anteriormente).