Nun habe ich die Empfehlungen des BSI zur Websicherheit berücksichtigen wollen
Das ist schon mal sehr löblich.
Bei der Gelegenheit, ich muss zugeben, ich habe den CSRF-Schutz mechanisch zugefügt. Die Beispiele für Gefährdungen sind ja soweit auch einleuchtend, aber ich kann jetzt nicht beurteilen, ob mein spezieller Anwendungsfall durch CSRF gefährdet ist. Was meint Ihr dazu?
Das ist allerdings eine gefährliche Vorgehensweise. Software-Sicherheit ist ein schwieriges Thema und Halbwissen auf dem Gebiet kann im besten Fall zu einem trügerischen Sicherheitsgefühl beitragen und im schlimmsten Fall mehr Türen für Angreifen öffnen als schließen . Bevor du anfängst etwas zu programmieren, solltest du die Theorie verstanden haben, und auf deinen Anwendungsfall übertragen können. Du solltest auch in der Lage die Vor- und Nachteile gängiger Implementierungen abzuwägen, bevor du selber etwas strickst. Eine gute erste Anlaufstelle zu CSRF ist das CSRF Prevention Cheat Sheet der OWASP Foundation.