Nuevo token CSRF por solicitud o NO?
¿Así que estoy leyendo y me confundí mucho sobre tener un token CSRF, por lo que debería generar un token nuevo para cada solicitud, o solo por hora o algo?
<code>$data['token'] = md5(uniqid(rand(), true)); $_SESSION['token'] = $data['token']; </code>
Pero digamos que es mejor generar un token cada hora, entonces necesitaría dos sesiones: token, expiration,
¿Y cómo procederé a la forma? Simplemente coloque echo $ _SESSION ['token'] en el formulario de valor oculto y luego compare ¿enviar?