каков наилучший способ создания токена csrf и проверки. Из того, что я смог собрать, даже если у вас есть скрытое поле формы в форме «post», хакер может просто получить эту форму, используя ajax, взять токен csrf и отправить еще один запрос на сайт для отправки формы.
И если мы хотим проверить отправленные нам заголовки ... тогда хакер может просто отправить токен csrf сценарию на стороне сервера, который затем будет эмулировать заголовки http.
Так как же на самом деле генерировать и проверять токены csrf?