CSRF puede ocurrir en cualquier momento que sus servicios de servidor POST † no se originen en un formulario servido por su servidor ‡ .
No usar cookies para la autorización no significa que CSRF no pueda ocurrir. Un iframe incrustado aún puede POST a cualquier URL adivinable con parámetros adivinables. Un agente de usuario personalizado aún puede enviar encabezados adivinables.
Es la autenticación de una sola vez a través de la autenticación ltap lighttpd.
No entiendo los detalles de este método de autenticación, pero una sola vez generalmente resuelve el problema con CSRF. No serás vulnerable a CSRF si
- su servicio de reinicio siempre le pide al usuario que ingrese sus credenciales para hacer un reinicio, entonces no es en sí mismo idempotente
- el servicio de reinicio solo se solicita desde un formulario con una acción indiscutible (por ejemplo, una con un secreto incrustado o credenciales incrustadas) desde una página que verifica LDAP
- el servicio de reinicio solo funciona cuando tiene un encabezado indiscutible establecido por una página que comprueba LDAP, entonces CSRF no es un problema.
- el servicio de reinicio solo es accesible por medio de una URL indiscutible
† - más generalmente, cualquier unsafe / operación de efecto secundario
‡: más generalmente, no desde el código de confianza del origen que atiende la solicitud