Qualcuno ha posto la stessa domanda qui: Dovrebbe token CSRF senza sessione lavoro sui cookie? ma le persone che rispondono sembrano incerte. Quindi, perché qualcuno ha bisogno di un cookie se utilizza un token incorporato in un modulo? Sono entrambi fondamentalmente utilizzati per l'identificazione. Capisco che i token CSRF possono essere rovinati quando premi il pulsante Indietro e rovini il DOM che memorizza il token, ma supponendo che non sia un problema per il tuo sito web, forse è solo un sito web di una sola pagina, o forse una guardia CSRF per sessione il token è in uso. Perché non potresti utilizzare il token come identificativo di sessione invece di un cookie di identificazione della sessione?