Можно ли поставить токен CSRF в файл cookie? (и в каждой форме, как скрытый ввод, поэтому я могу проверить, совпадают ли они, конечно). Я слышал, как кто-то сказал, что это делает, бьет всю цель токена, хотя я не понимаю, почему. Мне кажется безопасным.
И если он защищен, он менее защищен, чем помещает токен в URL?
Есть ли другой метод?
Где я могу узнать больше по этому вопросу?
UPDATE. Пока никто не может сказать мне, как метод cookie небезопасен, если ему все еще нужно сопоставить токен из формы, которую злоумышленник не сможет получить, если только он использует другой взлом, такой как XSS, который является другим делом и по-прежнему не влияет на использование маркера cookie и url.
ОБНОВЛЕНИЕ 2. Хорошо, похоже, что некоторые известные фреймворки используют этот метод, поэтому все должно быть хорошо. Благодаря