Hi,
ich frage mich gerade worin der Sinn bei dem CSRF von Shopware liegt.
Während dem normalen Ssurfen ohne Login bleibt CSRF und Session der gleiche Wert.
Loge ich mich ein ändert sich nur der Session-1 Wert. Der CSRF bleibt der gleiche.
Welchen Sicherheitsvorteil soll das bringen?
Danke und Gruss
Der CSRF hindert ja nur eine Applikation daran einen POST-Request durchzuführen ohne den Token.
Ohne CSRF könnte man dir einen Link unterjubeln der bspw. einfach einen Checkout durchführt, wenn du eingeloggt bist und einen Warenkorb hast. Auch hindert es die meisten Bots daran POST-Requests durchzuführen. Da gehts ja im wesentlichen darum, dass du über eine andere Seite (Scam) keine Aktionen im Shop im Namen des Users durchführen kannst. An den Cookie der Webseite kommt eine andere Webseite ja nicht dran.