Некоторые ошибки, связанные с использованием CSRF-токенов в веб-разработке:

• Отсутствие защиты от CSRF. 1 Это распространённая ошибка, её можно встретить как на малопосещаемых блогах, так и на крупных проектах. 1
• Защищены не все запросы. 1 На многих сайтах, где реализована какая-либо защита от CSRF, можно найти уязвимые запросы. 1
• Отсутствие проверки анти-CSRF токена при обработке запроса. 1 В самом запросе токен есть, а при его обработке он не проверяется. 1
• Недостаточная длина токена. 1 Токен должен быть настолько длинным, чтобы злоумышленник потратил на его подбор как минимум столько же времени, сколько и на подбор пароля пользователя. 1
• Предсказумые токены. 1 При разработке алгоритма генерации токена нужно использовать случайные данные. 1
• Отсутствие токенов в админ-панели или системе для сотрудников техподдержки. 1 Даже если весь доступный пользователям сайт защищён от CSRF, не стоит забывать про панель администратора. 1
• Несоответствие токенов CSRF. 23 Возникает, когда токен, сохранённый в сеансе пользователя, не совпадает с тем, который отправляется вместе с запросом. 2