要求ごとにcsrfトークンを含める必要がありますか？

Question

ユーザーが自分のアカウントにプライベートコンテンツを持っていることを確認します。他のソーシャルウェブサイトと同様に、ユーザーが自分のアカウントを参照すると、ユーザーはそれらに関する多くのことを見ることができます。これらのリクエストはすべてトークン化されていますか？パターンを作成し、すべての要求をトークン化して処理する前にチェックするのがよいアイデアですか？どんな服薬？
プライベートアカウントシステムに基づくすべてのアプリはすべてのリクエストをトークン化しますか？

P.S.ユーザーがソーシャルウェブサイト（「x」）にログインし、ログインしたまま別のウェブサイト（「y」）に移動する可能性があります。ウェブサイトyには、最新のユーザーを含むxサイトの最初のページコンテンツを取得するボタンがあります。ユーザーがログインしているので、データは表示されます...

どのように各要求に対してcsrfトークンメカニズムを設定しますか？有効な要求であれば、要求を最終処理ページにリダイレクトする中間プロセスを設定しますか？または...他のアイデア？私はここで間違っていますか？私は間違っているのを見ますか？

私は同じ質問をして、正しい最終回答を得ました：https://stackoverflow.com/a/10006276/1284817。ここで検証された答えは、あまりにも読んで良いです。

Answer 1

CSRFトークンは、通常、ユーザーのために物事を変更するもの（POST要求など）にのみ添付されます。プライベートデータを閲覧から攻撃者を保護することは、右のすべての一般的なブラウザの中で焼かれる実際はるかに簡単です、そして：

あなたは通常、ブラウザのsame origin policyに依存しているでしょう（むしろそれを修正するよりも）プライベートデータを閲覧する攻撃者を保護するために、そして、あなたの要求はあなたが提案した攻撃の具体的な例ではCross-origin resource sharing

をサポートしていません確実に、攻撃者の要求がexample.org/privateと、ブラウザは、私のブラウザ上で、このようになります例外がスローされます。

XMLHttpRequest cannot load http://example.org/private. Origin http://attacker.com is not allowed by Access-Control-Allow-Origin.