csrf 대신 세션 쿠키를 사용할 수 있습니까?

Question

나는 go와 gorilla 툴킷을 사용하여 csrf와 fiddliN에 대해 읽었습니다. 또한 암호화 된 쿠키에 사용자 ID를 저장하기 위해 구현 한 고릴라 세션을 사용하고 있습니다.

쿠키가 해독되고 난 쓴 미들웨어를 사용하여 암호화되지 않은 키 값 저장소와 DB로부터 사용자를 가져 ...

사용자가 OAuth2를 제공 통해 인증에서 세션 쿠키를 생성되면 , 그러한 보호가 필요한 모든보기가 사용자에게 표식 만 허용되는 경우 csrf 보호를 구현할 필요가 있습니까?

Answer 1

사용자가 사이트에 로그인하여 동일한 세션에서 인터넷을 계속 탐색했다고 가정합니다. 사용자의 브라우저가 사이트의 엔드 포인트에 요청하도록하는 HTML 또는 JS로 사용자를 악의적으로 타겟팅하는 다른 사이트를 우연히 발견합니다. 여기에는 도메인에 대한 사용자의 세션 쿠키가 포함되며 CSRF 토큰으로 보호되지 않는 한 성공합니다.