Вот столкнулся с проблемой Csrf атак на своём сайте. Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает. Как сейчас производится атака: Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия. С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
По умолчанию браузер это запрещает, ты как владелец сайта можешь это разрешить, например смотри cross domain ajax https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B0%D0%B2%D0%B ... 0%BD%D0%B0
В вопросах защиты нет ничего гарантированного. Может быть "довольно хорошее", pretty good. Комбинация из разных довольно хороших приемов даст вообще отличный результат ))) Но негарантированный. А вообще токен токену рознь. Почитай http://en.wikipedia.org/wiki/Cross-site_request_forgery#Prevention