Mi sono imbattuto in un sito Web che utilizza il token di autenticazione Rails per impedire gli attacchi CSRF. La mia preoccupazione qui è che posso vedere il token di autenticità nel codice sorgente della pagina web. Se qualsiasi altro servizio tenta di eseguire un attacco CSRF e questo token è l'unica cosa che lo impedisce, perché il servizio di un utente malintenzionato non può semplicemente copiare il token e quindi condurre l'attacco?