Добрый день.
Вот хочу защититься от CSRF, почитал, решил сделать скрытое поле и там генерировать токен, сохранять в сессию и потом проверять его на серваку с тем что пришло. Только одно мне настораживает, разве запрос которые будет идти от злоумышлинека например из iframe, не будет иметь сессию которая создается когда появляется форма?
Сессию он может и будет иметь правильную, но вот указать правильный (совпадающий с тем, что записан в сессии) токен в форме злоумышленник не сможет, ибо у него нет никакой возможности узнать его.