CSRF 保護を既存のサイトに追加する必要があり、CSRFを防ぐ方法のガイドとしてhttp://phpmaster.com/preventing-cross-site-request-forgeries/を参照しています。
リンクでは、トークンを格納する方法として $_SESSION を使用することをお勧めします。$_COOKIE を使用しても安全かどうか知りたいです。$_SESSION よりも $_COOKIE を使用することの欠点はありますか?
EDIT : $_SESSION の代わりに $_COOKIE を使用することが PCI 準拠であるかどうか、何か考えはありますか?
ほとんどの場合、PHP セッション ID は Cookie (セッション Cookie) を介して転送されます。
これがあなたのサイトにも当てはまる場合 (ほぼ確実にそうです)、攻撃者が (XSS などを介して) Cookie にアクセスした場合に何が起こるかを考えてみてください。セッションして正面玄関から入ります。結論: CSRF トークンを Cookie に保存しても、追加のセキュリティ リスクはありません。
追加の CSRF Cookie を使用することの小さな欠点は、着信 HTTP トラフィックの量がわずかに増加することですが、これは実際には理論上の違いにすぎません。