ソースにトークンが表示されても大丈夫なのですか？

トークンはアクセスするブラウザごとに異なる値が生成されるため、他人のトークンを知ることはできません。

2021年9月25日

ユーザー

お世話になっております。
下記の質問で、トークンの値は盗まれないことを前提としているとありますが、
https://dotinstall.com/questions/4okj1a8

ソースを見るだけでトークンの値を確認することができています。
実際に公開するページではソースを見てもトークンの値は表示されず、
下記のように書いたそのままのコードだけが見えるという認識で大丈夫でしょうか。

<input type="hidden" name="token" value="<?= h($_SESSION['token']); ?>">

この回答を見るにはプレミアムプランへの登録が必要です

このレッスンの質問と回答（10）