CSRF de alto nivel

Uno de los requisitos críticos de una protección CSRF implementada correctamente es que el token anti-CSRF debe ser único para cada usuario. El servidor web del atacante puede obtener un token del sitio vulnerable, pero no (bueno, no debería) ser el token de la víctima. Si el sitio emite el mismo token anti-CSRF para todos los usuarios, entonces el sitio es vulnerable a CSRF; simplemente vaya a recuperar el token anti-CSRF usando su propia cuenta de usuario y utilícelo para atacar a otros usuarios.

Hacer este lado del cliente (el sitio web del atacante, en lugar del servidor web, recupera el token) no funcionará debido a la política del mismo origen (a menos que el sitio vulnerable también tenga una configuración CORS extremadamente insegura, que es una toda la vulnerabilidad diferente). El atacante puede hacer que el navegador de la víctima solicite una página en el sitio de destino, pero el sitio del atacante no puede ver cuál es la respuesta, por lo que no podrá descubrir el token anti-CSRF de la víctima de esa manera. Si esto le sorprende, lea la política sobre el mismo origen; Es una de las protecciones más importantes que ofrece un navegador web (sin ella, nunca podría iniciar sesión en un sitio y navegar por otro).

Por lo general, se supone que un token CSRF debe generarse en el lado del cliente en el Javascript para que las pestañas de su navegador queden separadas unas de otras y utilicen tokens diferentes aunque esté en la misma máquina. Esto significa que el servidor nunca entrega tokens CSRF que pueda solicitar.