[zlodiak]

я не совсем понимаю зачем в статьях так замороченно описывают защиту от csrf. ниже я опишу очень простой сопсоб, а вы пожалуйста скажите в чём я не прав:

токены не использовать, а сервер будет проверять только атворизационную куку и заголовок origin (или referer). таким образом пользоваться сайтом смогут все пользователи кроме тех что зашли в анонимном режиме хрома или другим извращённым способом. но таких мало

если сервер видит, что в пришедшем запросе установлен разрешённый origin (referer) и прикреплено верное значение авторизационной куки, то значение формы обрабатывается