Всем доброго.
Случайно наткнулся на код защиты запроса logout'а пользователя:
AccountController.php#L90-L99
Автор показывает форму подтверждения, и только после получения подтверждения разлогинивает пользователя, хотя можно было и проще:
<form src="/logout">
<input type="hidden" value="csrf-token">
<input type="submit" value="Выход">
</form>
Нужно ли защищать запрос разлогинивания пользователя от CSRF?
Как злоумышленник может экплуатировать эту уязвимость в данном случае?