¿Realmente tiene sentido usar tokens anti-CSRF en una aplicación web a la que solo se accede con HTTPS? En caso afirmativo, ¿cuáles son las posibles formas de atacar una aplicación web de este tipo si no hay tokens anti-CSRF?
¿Realmente tiene sentido usar tokens anti-CSRF en una aplicación web a la que solo se accede con HTTPS? En caso afirmativo, ¿cuáles son las posibles formas de atacar una aplicación web de este tipo si no hay tokens anti-CSRF?
Sí, tiene sentido. HTTPS no hace nada para protegerlo contra los ataques CSRF. Debería realizar un ataque CSRF como lo haría contra un sitio web habilitado para HTTP.
Eche un vistazo a la descripción CSRF de OWASP para comprender cómo funciona. Será obvio que el cifrado del canal de comunicación es irrelevante para este tipo de ataque.