Ben tüm istekleri temelde çıplak kemikleri, bu gibi bir şey görünüyor, bir ana kontrolör ne miktarda geçmesi tamamen ajax-güdümlü uygulama üzerinde çalışıyorum:

if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
    fetch($page);
}

Bu çapraz-site istek sahtekârl karşı korumak için genellikle yeterli mi?

Bu tüm sayfa her istek ile yenilenir dönen simge olması oldukça rahatsız edici.

Ben her isteği ile küresel bir javascript değişken olarak eşsiz belirteç geçirmek ve güncellemek varsayalım - ama nedense bu beceriksiz hissediyor ve yine doğal olarak güvensiz görünüyor.

EDIT - Belki statik bir belirteç, kullanıcının UUID gibi, hiçbir şey daha iyi olurdu?

EDIT # 2 - The Rook işaret ettiği gibi, bu bir saç ayırma soru olabilir. Ben spekülasyon iki yönde okumak ve flaş shenanigans bu tür işletilebilir olmanın eski sürümleri hakkında uzak fısıltılar duyduk. Ben bu konuda hiçbir şey bilmiyorum, ben bu bir CSRF risk nasıl açıklayabilir herkes için bir lütuf kadar koyuyorum. Aksi takdirde, ben Artefacto bunu veriyorum. Teşekkürler.