Hi!

Genauer gesagt Anfragen auf URLs, die einen angemeldeten Nutzer und ggf. bestimmte Nutzerrechte erfordern sowie auf dem Server etwas ändern.

Das Überprüfen der Zugriffsrechte hat [nichts] mit CSRF zu tun.

Du verwirrst mich! Machst du einen Unterschied zwischen Nutzer- und Zugriffsrechten?
Ich muss doch sowieso ständig prüfen welche Rechte ein Benutzer hat. Ich verstehe gerade nicht wieso ich da beim Lesen kein Token setzen soll, bei Formularen aber doch.
Und was für einen Unterschied macht es ob ich den Token als hidden field oder in der Session oder "per Hand" in einem Cookie speichere?

Norman