Alguien ha hecho la misma pregunta aquí: En caso de que CSRF no tenga sesión cookie funciona? Pero las personas que responden parecen inciertas. Entonces, ¿por qué alguien necesita una cookie si está utilizando un token incrustado en un formulario? Ambos se utilizan básicamente para la identificación. Entiendo que los tokens CSRF se pueden arruinar cuando presiona el botón de retroceso y arruina el DOM almacenando el token, pero suponiendo que eso no es un problema para su sitio web, tal vez sea solo un sitio web de una sola página, o tal vez un guardia CSRF por sesión. Se está utilizando token. ¿Por qué, entonces, no podría simplemente usar el token como identificador de sesión en lugar de una cookie de identificación de sesión?