Me gustaría señalar que he leído la otra pregunta con un título vergonzosamente similar y no contiene una respuesta a mi pregunta.
No he usado CodeIgniter como programador, pero recientemente he realizado una prueba de penetración para un sitio web que lo estaba usando. El sitio era muy pesado en AJAX y, por lo que yo entendía, tenía protección CSRF en forma de una cookie ( no marcada httponly ) que se copia en un campo oculto de un formulario justo antes del se envía el formulario.
Esto significa automáticamente que si un atacante puede encontrar una vulnerabilidad XSS en el sitio web (como era el caso), también puede aprovecharla para lograr el CSRF.
Sin embargo, suponiendo que el sitio no tenga XSS, ¿es esta solución inherentemente segura?
Me siento bastante mal por una cookie importante que no es httponly y que se accede por diseño a través de JavaScript. ¿Soy solo yo o es esta mala práctica en verdad?
Supongo que no puedes asumir la invulnerabilidad de XSS como defensa, pero aún así, ¿hay algún otro ataque en esto (que no aproveche XSS)?