CSRF e usabilità

[Electro]

Salve,
fra le protezioni più accreditate contro il CSFR, vi è quella di generare un token per ogni form. Il problema è che questa soluzione va ad intaccare l'usabilità: infatti, se l'utente apre più pagine con form contemporaneamente, vengono generati più token, e praticamente solo l'ultima pagina aperta potrebbe completare un azione. Tutte le altre restituirebero errore.
Le soluzioni che ho trovato sono 2:

1) far generare un unico token, per la durata della sessione
2) memorizzare nelle variabili di sessione ogni token generato.
---
1) La prima soluzione mi sembra quella più realistica, anche se meno sicura, visto che per la durata della sessione, se pur limitata, il token rimane il medesimo.
2) La seconda mi sembra generi un grosso spreco di risorse, visto che aprendo molte pagine, potrebbe accumulare, un grosso numero di dati nella sessione...

Voi come avete risolto questo problema?

Il sito è praticamente un ecomerce, anche se le transazioni monetarie, verranno gestite da provider esterni(alias paypal e altri), credo sia giusto dare una certa sicurezza nel resto della gestione del proprio account...

[Elmapomap]

Originariamente inviato da Electro
Salve,
fra le protezioni più accreditate contro il CSFR, vi è quella di generare un token per ogni form. Il problema è che questa soluzione va ad intaccare l'usabilità: infatti, se l'utente apre più pagine con form contemporaneamente, vengono generati più token, e praticamente solo l'ultima pagina aperta potrebbe completare un azione. Tutte le altre restituirebero errore.
Le soluzioni che ho trovato sono 2:

1) far generare un unico token, per la durata della sessione
2) memorizzare nelle variabili di sessione ogni token generato.
---
1) La prima soluzione mi sembra quella più realistica, anche se meno sicura, visto che per la durata della sessione, se pur limitata, il token rimane il medesimo.
2) La seconda mi sembra generi un grosso spreco di risorse, visto che aprendo molte pagine, potrebbe accumulare, un grosso numero di dati nella sessione...

Voi come avete risolto questo problema?

Il sito è praticamente un ecomerce, anche se le transazioni monetarie, verranno gestite da provider esterni(alias paypal e altri), credo sia giusto dare una certa sicurezza nel resto della gestione del proprio account...

Sicuramente la seconda; infatti è quella che uso anch'io.
Sebbene il tuo sito sia un ecommerce, quante pagine potrà mai aprire un utente? massimo 3-4? e se pure ne aprisse 10? cosa vuoi che occupino o sprechino delle variabili di sessioni?