最近、csrf トークンについて読みました。プロジェクトの開発に YII フレームワークを使用しています。config/main.php で csrf 検証を有効にしましたが、yii は非表示のフォーム フィールドにトークンを入れています。そして、トークンが有効かどうかを確認します。すべて順調。しかし、リフレッシュしてもCSRFトークンの値が変化せず、ページ内のすべてのフォームが同じトークンを使用していることを確認しました。
これは私を困惑させました。csrf トークンが変更されていない場合、ハッカーはそのトークンを自分のリクエストでも使用でき、有効なリクエストを作成できます。では、csrf トークンはどのようにセキュリティを提供できるのでしょうか? YII フレームワークに問題がありますか? それとも私は何かを逃したのですか?何かを逃したことを願っています。トークンを手動で生成する必要がある場合は、生成と検証の方法を教えてください (できれば YII フレームワークで)