Va bene modificare l'html e aggiungere un campo nascosto contenente il token CSRF a tutti i moduli all'interno di una pagina usando una valvola o un filtro prima di andare al browser?
Sto pensando a questa linea dal momento che voglio rimuovere la responsabilità dagli sviluppatori di aggiungere un campo nascosto a tutte le forme che sviluppano.
Quale sarebbe la prassi comune / migliore su questo?
Capisco che ciò implichi un peggioramento delle prestazioni dal momento che analizzeremo l'HTML. Ma c'è un altro modo migliore?
EDIT: questo potrebbe anche essere fatto usando un javascript comune che dovrebbe essere incluso da tutte le pagine: