CSRF теоретически может бить, если авторизация происходит по сесии, а сесид передаеться через урл?
Как я понимаю нет, но могу ошибаться.
CSRF
Re: CSRF
Кого он бить может? За что? Он добрый. Он защищает наши запросы от всяких "сесидов".
Конференция: yii@conference.jabber.ru