CSRF tokeni sessionda tut. her request sonrası değiştir. token uyumsuz olduğunda isteği iptal et.
-p.s.: csrf dediğime bakmayın. bunlara verilen genel ad bu oluyor. normalde csrf başka bi' olay için kullanılıyor.-

@ByScarecrow; çok emin konuşuyorsunda o yazdığın iki satırlık kodu her türlü aşarım. bazı tarayıcılarda post ettikten sonra post ettiğin sayfada f5 yaparsan isteği yeniden göndereyim mi diye çıkar. arkadaş bunu engellemeye çalışıyor.