つーか、URLを変更することは、GETにセッションID埋めることと同じやん。眠たいなおれは。

考えをまとめると、トークンをURLに含めるのもFORMでPOSTするのも同じ事なので、URLに含める方が攻撃者が攻撃しにくいよってことか。どうせならURLはセッション毎に作っておけば楽なんじゃないか。