Почему codeigniter2 не сохраняет csrf_hash более безопасным способом, например сеансом?

Почему сгенерированный токен защиты CSRF не сохраняется и используется через SESSION, как предлагается здесь ? В настоящее время в CI2 механизм защиты CSRF (в классе безопасности) таков:

1.генерировать уникальное значение для токена CSRF в функции _csrf_set_hash ():

• Отправка переменных для функций файловой системы PHP с представлением формы
• Как взломать базу данных? Вопрос о солевом и т. Д.
• CakePHP Security :: cipher () не работает специально на сервере
• Как защитить пароль при отправке с помощью AJAX?
• JQuery Ajax Voting

$this->csrf_hash = md5(uniqid(rand(), TRUE)); 

2. Вставьте этот токен в скрытое поле формы (с помощью form_open helper)

3. Пользователь отправляет форму, и сервер получает токен через POST. CI выполняет проверку маркера в функции «_sanitize_globals ()» в классе ввода:

 $this->security->csrf_verify(); 

4. Функция «csrf_verify» только для проверки класса безопасности – это POST ['токен'] и POST ['токен'] равен COOKIE ['token'];

 public function csrf_verify(){ // If no POST data exists we will set the CSRF cookie if (count($_POST) == 0) { return $this->csrf_set_cookie(); } // Do the tokens exist in both the _POST and _COOKIE arrays? if ( ! isset($_POST[$this->_csrf_token_name]) OR ! isset($_COOKIE[$this->_csrf_cookie_name])) { $this->csrf_show_error(); } // Do the tokens match? if ($_POST[$this->_csrf_token_name] != $_COOKIE[$this->_csrf_cookie_name]) { $this->csrf_show_error(); } // We kill this since we're done and we don't want to // polute the _POST array unset($_POST[$this->_csrf_token_name]); // Nothing should last forever unset($_COOKIE[$this->_csrf_cookie_name]); $this->_csrf_set_hash(); $this->csrf_set_cookie(); log_message('debug', "CSRF token verified "); return $this; } с public function csrf_verify(){ // If no POST data exists we will set the CSRF cookie if (count($_POST) == 0) { return $this->csrf_set_cookie(); } // Do the tokens exist in both the _POST and _COOKIE arrays? if ( ! isset($_POST[$this->_csrf_token_name]) OR ! isset($_COOKIE[$this->_csrf_cookie_name])) { $this->csrf_show_error(); } // Do the tokens match? if ($_POST[$this->_csrf_token_name] != $_COOKIE[$this->_csrf_cookie_name]) { $this->csrf_show_error(); } // We kill this since we're done and we don't want to // polute the _POST array unset($_POST[$this->_csrf_token_name]); // Nothing should last forever unset($_COOKIE[$this->_csrf_cookie_name]); $this->_csrf_set_hash(); $this->csrf_set_cookie(); log_message('debug', "CSRF token verified "); return $this; } с public function csrf_verify(){ // If no POST data exists we will set the CSRF cookie if (count($_POST) == 0) { return $this->csrf_set_cookie(); } // Do the tokens exist in both the _POST and _COOKIE arrays? if ( ! isset($_POST[$this->_csrf_token_name]) OR ! isset($_COOKIE[$this->_csrf_cookie_name])) { $this->csrf_show_error(); } // Do the tokens match? if ($_POST[$this->_csrf_token_name] != $_COOKIE[$this->_csrf_cookie_name]) { $this->csrf_show_error(); } // We kill this since we're done and we don't want to // polute the _POST array unset($_POST[$this->_csrf_token_name]); // Nothing should last forever unset($_COOKIE[$this->_csrf_cookie_name]); $this->_csrf_set_hash(); $this->csrf_set_cookie(); log_message('debug', "CSRF token verified "); return $this; } 

Почему бы не хранить токен в сеансе? IMHO просто проверяет POST ['токен'] непустым и равен COOKIE ['токен'] недостаточно, потому что оба могут быть отправлены злым сайтом.