Ho un token di sessione che è memorizzato in un lato client del cookie del browser. Il cookie è già disponibile per lo scripting e viene utilizzato per convalidare XHR tramite Javascript. Per una pagina particolare sto usando un iFrame per caricare i dati sul server. Ci sarebbero problemi, oltre a ciò a cui sono già esposto, includendo il token di sessione come campo nascosto nel mio iFrame?