もう一度質問して申し訳ありませんが、pplはcsrfをフォームの送信またはフォームの複製とのみ接続しているようです(理由はidk)。
私のアイデアは、外部の要求からデータを保護することです。リクエストごとにトークンを設定し、ユーザーがログインしてトークン化を開始します。これにより、攻撃者は前のページを読み込んでトークンを取得し、次のリクエストに送信できなくなります。プライベートユーザーのコンテンツが盗まれないように、最初から各リクエストをトークン化するのは良い考えですか?これは、保護されていないソーシャルWebサイトに対する強力な攻撃だと思います。攻撃者は、別の人気のあるWebサイトからユーザーデータを盗みます。