.net я реализую IHttpModule для смягчения CSRF-атак. Он вставляет в ответ html скрытый параметр формы с идентификатором asp.net SessionID в GET. На POST он затем проверяет, что значение скрытого параметра соответствует текущему SessionID. Насколько я знаю, единственный способ получить значение SessionID - это файл cookie, который не может быть прочитан или определен вредоносным сайтом. Есть что-нибудь, что я пропускаю?