2007-02-15 CSRF考察追記。 つーか、URLを変更することは、GETにセッションID埋めることと同じやん。眠たいなおれは。考えをまとめると、トークンをURLに含めるのもFORMでPOSTするのも同じ事なので、URLに含める方が攻撃者が攻撃しにくいよってことか。どうせならURLはセッション毎に作っておけば楽なんじゃないか。