Где хранить содержимое CSRF-токена в Backbone-клиенте?

Question

[KamilFo]

Имеем RESTful API на Slim Framework (PHP) и автономный клиент на Backbone.

Для аутентификации и CSRF-защиты предполагается использовать два токена - Auth-токен и CSRF-Токен.

Auth-токен создает и шифрует сервер, после черего возвращает клиенту один раз при логине. Клиент сохраняет зашифрованный Auth-токен в cookies и отправляет на сервер при каждом запросе с помощью Backbone.Sync.

CSRF-токен, в свою очередь, сохранять в cookies нет смысла.
Предполагается в каждой форме создать скрытое поле с содержимом CSRF-токена, ну или так же прикреплять к каждому запросе через Backbone.Sync.
Но где же хранить его содержимое, которое передаст сервер опять же при логине? Какой механизм здесь использовать?

Comments

[FanatPHP]

похоже, я прогнал малость. хранить на клиенте можно

Answer 1

[Артем Кустиков]

Аккуратнее всего хранить его в sessionStorage, тогда браузер сам гарантирует что токен проэкпайрится при уходе со страницы, единственная проблема в этом случае - необходимость логинить юхера на каждой новой открытой странице (табе).