Есть index.php в нём генерируется токен и кладётся в сессию. Но токен генерируется новый только если POSTа нет:
if(!isset($_SESSION) || $_SESSION === NULL){
session_start(600);
if(empty($_POST)){
$_SESSION['csrf'] = md5(microtime(true).rand(1,10000000));
}
}
Есть страница на ней форма, отправляется ajax на site.ru/page (запрос проходит через роутинг в index).
В page только код:
var_dump($_SESSION)
Суть в том что у текущей страницы с формой и в page всегда оказываются разные токены, я никак не могу понять где и как успевает сгенерироваться и поместиться в сессию новый токен и как это предотвратить?
