Ich kann mir keinen Grund vorstellen, warum sie nur beim Abmelden einen get
param hinzufügen müssten.
Hinzufügen eines Token zu einer URL kann verwendet werden, um prevent abuse oder wenn die Session-ID der URL hinzugefügt wird, um die Sitzung auch arbeiten zu lassen, wenn Cookies auf der Client-Seite verteilt werden.
aktualisieren
Vom linked article:
zeigt jedoch eine Schnellansicht der Datei eine ziemlich interessante Frage. Es erfordert, dass die beim Anmelden berechnete Signatur dem Benutzer zur Übermittlung auf der Anmeldeseite vorgelegt wird. Vermutlich wurde dies als eine Form des CSRF-Schutzes getan. Es gibt jedoch auch die Daten verloren, die notwendig sind, um eine Sitzung an den Benutzer zu übernehmen. So kommen wir zu unserem 11. Verwundbarkeit bisher:
UPDATE2
Ich habe ircmaxell in chat gefragt. Und es ist wegen CSRF-Schutz.
Sind Sie sicher, dass sie es nur beim Abmelden tun? Die meisten Websites hängen sessid an die get-Anfrage an, um sicherzustellen, dass die Sitzung des Benutzers in den Fällen fortbesteht, in denen sie Cookies deaktiviert oder nicht erlaubt haben. –
Wenn es sich nicht nur um die Abmeldeseite handelt, sondern um alle Seiten, wird eine Maßnahme ergriffen, um die Cross-Site-Fälschungsrisiken zu verringern. Erfahren Sie mehr darüber hier: http://en.wikipedia.org/wiki/Cross-site_request_forgery – Sahand