Hi!

Wenn das nur ein Lesezugriff ist, der auf dem Server nichts verändert, ist das kein Sicherheitsrisiko.

Das sehe ich aber anders. Wenn Lesezugriffe kein Sicherheitsrisiko wären, bräuchten wir keinen Datenschutz. Ich hätte auch etwas dagegen wenn eine beliebige Person meine Kontodaten einsehen könnte - auch ohne etwas zu buchen.

CSRF funktioniert so:

Das habe ich schon verstanden aber die weiteren Erklärungen hier verwirren mich halt mehr als sie mich weiter bringen :/
Ich sehe ja sicherheitstechnisch keinen Unterschied zwischen lesen und einer beliebigen anderen Aktion. Insofern müsste ich den Token also doch an jeden Link hängen bzw. könnte er auch ins action-Attribut anstatt in ein hidden field eines Formulars.

Norman