DWR использует токен DWRSessionID для защиты CSRF и не меняется для каждого сеанса пользователя. Это означает, что выход из приложения не меняет DWRSessionID, и мы увидим тот же DWRSessionID, выполнив вход снова, не закрывая браузер.
Этоможет быть проблемой (CSRF), если кто-то украл DWRSessionID и попытается отправить ссылки по электронной почте, он обработает ссылку, если пользователь снова войдет в приложение, поскольку DWR использует один и тот же DWRSessionID для экземпляра браузера вместо сеанса пользователя.
Действительно ли вышеприведенное действительно проблема для CSRF, или можно использовать одинаковый DWRSessionID для экземпляра браузера, а не для сеанса пользователя.