Buenas, estoy intentando crear un token para añadir a mis formularios con el fin de evitar los ataques CSRF en su mayor parte. Estoy pensando en utilizar para crear la cadena una palabra secreta y el tiempo, de modo que termine caducando el código. Aún así, los atacantes podrían spoofear el código entre ese lapso de tiempo.

También he pensado en que el Token solo sirva para una fecha determinada, pero de este modo voy a tener que guardar la fecha en una variable de sesión o cookie, y si copian el código y la cookie también podrán spoofearlo.

¿Cuál veis vosotros el modo más seguro de generar la cadena? Muchas gracias.

Saludos.