Помогите решить вот какую проблему.
Клиент оставляет форму логина открытой. Более, чем на час. Соответственно, время жизни сессии истекает, и токен уже невалиден.
Заставлять клиента обновлять страницу не хочется. Обновлять ее скриптами тоже не хочется.
Остается вариант аяксом получить новый токен и подставить его в форму.
Вопросы:
1) Чем это чревато с точки зрения безопасности
2) Пытаюсь понять, как работает код... Будучи незалогиненым, обновляю форму - код csrf каждый раз разный. При этом кука (наблюдаю в хроме) остается та же самая. Как происходит валидация, если куки значение одно и то же, а код разный?
P.S. Возможно туплю - ночь на дворе. Извините.
CSRF валидация
Re: CSRF валидация
Легче пинговать аяксом сервер, он сам будет сессию продлевать. Даже ответ не нужно проверять )