Наткнулся на CSRF и слегка озадачился это проблемой. Как правильнее организовать защиту от подмены запросов?
Почитав пару статей на эту тему, понял что лучший способ - отправлять вместе с запросом уникальных токен.
Так вот, пока есть такая схема:
При авторизации записывать пользователю в сессию уникальных токен. После чего на страницах требующих отправки запроса добавить в форму hidden поле и передавать через него тот самый токен. После чего, перед обработкой запроса проверять сам токен. Но каким образом его проверять, ибо читал, что проверка токена на isset - не есть хорошо.
1) создаем токен
2) пишем в сессию
3) добавляем в нужные места во вьюхах. например, hidden-поля в формы или устанавливаем какой-нибудь заголовок, если запросы делаются через AJAX
4) при каждом POST/DELETE/PUT/PATCH запросах проверяем входной токен и токен в сессии. не совпали = пока.
Правильно ли я понимаю, что вы предлагаете накапливать список сгенерированных токенов в сессии? То есть если на странице формы нажимать F5 много раз, то при каждом отображении формы будет добавляться доп. токен в сессию?
