Я бы придерживался мнения, что да, «эти атаки настолько маловероятны, что такие меры не нужны». На самом деле, они, вероятно, вовсе не «атаки».
Если я решу съесть ужин перед тем, как откликнуться на веб-сайт, и особенно если у меня будет хороший бокал вина с этим ужином, тогда есть очень (!) хороший шанс ... хм ... что мой сеанс истек. Это не «атака».
Идентификатор сеанса "nonce" - это, по сути, случайное значение в числовом пространстве, настолько обширном, что "грубая сила" фактически никогда не сработает. Следовательно, единственно вероятной «атакой» будет то, что все еще действующий идентификатор каким-то образом будет украден злым человеком, который обязательно начнет свою законную атаку с другого IP-адреса , И, насколько я помню, существующая логика обработки сессий PHP уже учитывает это.
(«Peanut Gallery ™, пожалуйста, перезвоните сюда» - не так ли?)
Конечно, я также предполагаю, что вы полностью контролируете все, что передается в браузер пользователя как часть "вашей" веб-страницы.