Me preguntaron que se podría hacer para protegerse ante ataques XSRF, descartando la posibilidad de configurar el server y dirigiéndose a la posibilidad de modificar el código de la aplicación PHP en conjunto. Lo primero que se me ocurrió a esto fue: tokens individuales y secretos. Los tokens son códigos/llaves, que pueden ser conseguidas por medio de criptografía, que son concebidas a usuarios o visitantes para que puedan comprobar su identidad. Pero este token no debe ser fijo, sino que sea renovado con el paso del tiempo, pagina/sección visitada o acción. Ejemplo de token:

session_token=0ad12s5hgd458st9t7abds43aiou1;

Teniendo en cuenta esto “arreglaría, quizás, aunque no sea practico en parte el problema. O sea que al iniciar la sesión con session_start(), se aplica un id nuevo con session_id(), pero para crear una nueva id cada vez que se cambie de pagina/sección se puede usar session_regenerate_id() (PHP Manual).

Lo segundo que se me ocurrió probar es achicar el tiempo de vida en las cookies, para evitar estos ataques en sitios que, aunque no estemos visualizando en ese momento, pueden ser objetivos fáciles gracias a estas cookies. Un modo de hacer esto fue el siguiente:

session_start();
session_set_cookie_params (0, ‘/’);

O el siguiente, extraído de un paper:

session_start();
ini_set(’session.cookie_lifetime’, “700“); // cookies
ini_set(’session.gc_maxlifetime’, “700“); // 1440 is default.

Si encuentran mas métodos, que implique una aplicación web, no duden es postear su comentario.