Новый токен CSRF за запрос или НЕТ?
Так что я читаю вокруг и был действительно озадачен наличием токена CSRF, нужно ли мне генерировать новый токен для каждого запроса, или только за час или что-то еще?
<code>$data['token'] = md5(uniqid(rand(), true)); $_SESSION['token'] = $data['token']; </code>
Но, скажем, лучше генерировать токен каждый час, тогда мне потребуются две сессии: токен, истечение срока действия,
И как мне перейти к форме? Просто поместите echo $ _SESSION ['token'] в форму скрытого значения, а затем сравните при отправке?