Например: я использую сеансы PHP для аутентификации пользователей.PHP хранит cookie PHPSESSID с токеном, который аутентифицирует пользователя.
Вместо генерации токенов CSRF, достаточно ли отправки токена PHPSESSID в теле всех запросов POST, чтобы предотвратить CSRF?(Предполагая, что запросы GET не представляют никаких действий, согласно RFC2616 и игнорируя CSRF входа в систему.)