Зачем требовать токен CSRF для запросов POST?
Насколько я понимаю, CSRF не позволяет злоумышленнику использовать<img>
тег, чтобы получить жертвуs браузер для отправки запроса, который будет аутентифицирован с использованием cookie-файла сеанса. При условии<img>
s всегда отправляются с использованием запроса GET, а не POST, тогда почему необходимо запрашивать токен CSRF в запросе POST?
Кроме того, злоумышленник нене сможет отправить форму на веб-странице без возможности запуска кода (например, атаки XSS), и в этом случае они в любом случае могут обойти ваши средства защиты CSRF.