Читать Памятку по предотвращению CSRF-атак OWASP, одним из методов, предложенных для предотвращения подобных атак, является шаблон токена синхронизатора.
Если токен сеанса является криптографически стойким, может ли он дублироваться как токен csrf, как описано в следующем псевдокоде?
Клиент:
Сервер:
if(request.getParameter("csrf-cookie") != user.getSessionCookie())
print "get out you evil hacker"
Куки-файл устанавливается с помощью javascript при загрузке страницы, чтобы предотвратить случайную утечку пользователями сеансового куки-файла, если они, например. отправить копию страницы другу.