Як ви будете перевіряти цей ідентифікатор, окрім як через куки/сесію?

P.Y., зрозуміло, що ваш девіз: менше наворотів - більше надійності!

Але, нажаль, на чистому HTML далеко не поїдеш. Те що ви кажете про додаткову JS-функціональність, якої варто уникати якщо її можна зробити і на чисто HTML, то а хіба цього не дотримується більшість? Всі намагаються зробити на HTML, CSS.

Куки треба ігнорувати на стороні сервера. Механізм сесій можна реалізувати й без cookies — передаючи ідентифікатор через параметр URL чи приховане поле форми.

Якщо зловмисник знайшов спосіб отримати активну сесію, то міг він це зробити, використовуючи дані з cookies. Якщо ж безпечний сайт у куки нічого не пише й нічого звідти не читає, ідентифікатор сесії передається виключно через POST (навіть від параметру url відмовимось, щоб зловмисник не міг його прочитати з екрану), час існування сесії обмежено, дані передаються через безпечний протокол, то звідки у зловмисника ідентифікатор сесії?

Давайте почнемо з азів. Що собою являє сесія? Це дані (наприклад, ім'я користувача), що зберігаються на стороні сервера (у файлі чи базі даних), доступ до яких здійснюється за ідентифікатором, що генерується на сервері й передається (через cookies чи як get-параметр/post-параметр безпосередньо в html) клієнтові, а потім повертається на сервер з наступним запитом. Очевидно, складність цього ідентифікатора має бути такою, щоб його неможливо було отримати простим перебором. Якщо клієнт передає ідентифікатор неіснуючої сесії, то ніяких даних сесії сервер не знайде.

Щодо контрольного параметру. Якщо він передаватиметься тим же способом, що й ідентифікатор сесії, то що заважає зловмиснику вкрасти і ідентифікатор сесії, і контрольний параметр?

Нехай на сайті зловмисника є скрипт(js), що зчитує сторінку з банківського сайту (де розміщена форма переказу коштів), заповнює форму й відправляє її на сайт банку, щоб здійснити переказ. Якщо cookies використовуються сайтом банку для ідентифікації сесій, то скрипт словмисника в браузері жертви зможе це зробити від імені жертви?

Так, зможе це зробити без будь-якого скрипта, бо ідентифікатор сесії перевіряє, в нашому випадку, банк, а не зловмисний сайт. Тобто зловмисний сайт передає параметри в рядку запиту POST або GET без будь-яких додаткових маніпуляцій. Коли цей запит приходить на сайт банку, то вже банк перевіряє чи її клієнт має актуальну сесію.

Шо ще?
Допустимо у вас на сайті є лінк (GET запит),по якому користувач може видалити своє повідомленяя,типу.
/del_message.php?id=777

І може залишити у себе картинку (картинки) типу <img src="http://yoursite.com/del_message.php?id=777">
Після відвідування вами його сайту,ваші записи видаляться,ну і так далі по прикладу лайків,дізлайків і тому подібне..

Хоча приклад, звичайно ж, надуманий, але якщо робити якісь аналогічні дії, то навіть після завершення авторизації, надаються права (по-суті) браузеру у вигляді встановленої куки, яка буде ідентифікатором сесії - тобто якраз все що ви перерахували не забезпечує захисту.

Забезпечує захист додатковий ідентифікатор, який вставляється в сесію - на стороні сервера, та додатково або в приховане поле форми, або в окремі куки - на стороні клієнта. Потім, коли приходить запит від клієнта, звіряються ці два ідентифікатори.

Таким чином, виконуючи запит переадресований із зловмисного сайта, браузер видасть серверу куку з ідентифікатором сесії на автоматі, але додатковий ідентифікатор не видається на автоматі, в цьому й полягає захист від XSRF-атак.