Вопросы по защите Django от CSRF

В документации есть объяснение здесь , но у меня возникли дополнительные вопросы ..

Почему необходим специальный файл cookie CSRF?

Если Django не использует специфические для транзакции одноразовые номера, почему бы просто не потребовать встраивать идентификатор сеанса в тело запроса POST?

Почему одноразовые значения CSRF должны быть привязаны к идентификатору сеанса? Django делает это?

Эта веб-страница , похоже, подразумевает, что одноразовый номер CSRF должен быть привязан к идентификатору сеанса (например, CSRF nonce = хэш идентификатора сеанса с ключом). Это почему? Связывает ли Django одноразовое значение CSRF с идентификатором сеанса?

Почему Django использует одноразовые номера, не зависящие от сеанса, а не конкретные одноразовые номера транзакции?

Это связано с проблемой производительности? Интуитивно одноразовые номера, специфичные для транзакции, кажутся более безопасными по своей природе.