catanfa, ну допустим отправит. Для каждой формы генерируется свой токен и пишется в сессию. Допустим. Предположим, также, что CORS мы шлем куда подальше также, ну всякое может быть. И что это даст злоумышленнику? Откуда у юзера в сессии актуальный токен, если он не был сгенерирован. Метод checkCSRF принимает значение для проверки, $_POST['csrf'], например. Чтобы злоумышленник смог что-то сделать, ему нужно отослать в POST запросе токен, который находится в сессии. Ну если только угадать.
Anonimmus, а вот это это уже не по тематике ресурса, вам на фриланс. Если вам жалко потратить 15 минут на изучение основ js, тем более с jquery, то я тут не при чем
Boris Korobkov, запуск сессии происходит после старта приложения, а по поводу ключа в массиве - что имеется ввиду? Я проверяю существование ключа csrf в сессии, и если его нет генерирую новый
я пишу своё MVC - "решение", в обучающих целях, во многом оглядываясь на Yii2, поэтому csrf токен попадает во все формы методом контроллера generateCSRF, естественно, если не прописать, токена не будет и форма будет отклонена. Принцип CSRF я "вроде как" понял, но решил убедиться, спасибо большое)
С новым годом вас, кстати)