Какие ошибки связаны с использованием CSRF-токенов в веб-разработке?

Некоторые ошибки, связанные с использованием CSRF-токенов в веб-разработке:

• Отсутствие защиты от CSRF. habr.com Это распространённая ошибка, её можно встретить как на малопосещаемых блогах, так и на крупных проектах. habr.com
• Защищены не все запросы. habr.com На многих сайтах, где реализована какая-либо защита от CSRF, можно найти уязвимые запросы. habr.com
• Отсутствие проверки анти-CSRF токена при обработке запроса. habr.com В самом запросе токен есть, а при его обработке он не проверяется. habr.com
• Недостаточная длина токена. habr.com Токен должен быть настолько длинным, чтобы злоумышленник потратил на его подбор как минимум столько же времени, сколько и на подбор пароля пользователя. habr.com
• Предсказумые токены. habr.com При разработке алгоритма генерации токена нужно использовать случайные данные. habr.com
• Отсутствие токенов в админ-панели или системе для сотрудников техподдержки. habr.com Даже если весь доступный пользователям сайт защищён от CSRF, не стоит забывать про панель администратора. habr.com
• Несоответствие токенов CSRF. dzen.ru brightsec.com Возникает, когда токен, сохранённый в сеансе пользователя, не совпадает с тем, который отправляется вместе с запросом. dzen.ru