标签: http csrf
例如:我正在使用PHP会话来认证用户。 PHP存储PHPSESSID Cookie以及用于验证用户身份的令牌。
PHPSESSID
不是生成CSRF令牌,而是在所有POST请求的正文中发送PHPSESSID令牌足以阻止CSRF吗? (根据RFC2616,假设GET请求不代表任何操作,而忽略登录CSRF。)