Nowy token CSRF na żądanie lub NIE?
Tak więc czytam i byłem naprawdę zdezorientowany o posiadaniu tokena CSRF, gdziekolwiek powinienem wygenerować nowy token na każde żądanie, czy tylko na godzinę czy coś?
<code>$data['token'] = md5(uniqid(rand(), true)); $_SESSION['token'] = $data['token']; </code>
Ale powiedzmy, że lepiej jest generować token co godzinę, wtedy potrzebowałbym dwóch sesji: token, wygasanie,
A jak mam przejść do formularza? Po prostu umieść echo $ _SESSION ['token'] w formularzu wartości ukrytej, a następnie porównaj na przesłanym?