درود و ادب استاد امید وارم سلامت باشید
سوال اولم اینه که آیا csrf رو توی همه ی request هایی که به سمت سرور ارسال میشه انجام بدم مثلا باز کردن یک آگهی یا نه فقط وقتی فرم ارسال میشه؟
سوال دوم در مورد sesion هست من documentation owasp رو دارم می خونم در مورد session گفته که کلید session نباید قابل حدس باشه یعنی الان مثلا برای login کاربر به جای کلید user از یک token که helperش رو نوشتیم استفاده کنم؟
ممنون میشم راهنمایی کنید
با سلام خدمت شما همراه گرانقدر
فقط برای فرم ها چک میشه ولی در تمامی ریکوئست ها میتونید بذارید
بله باید هش بشه
سپاس از حضور گرم شما
مخصوص اعضای ویژه 
