Nette forms: missing info about session start for CSRF protection

[mesour]

Možná by se hodilo v dokumentaci u nette/forms v sekci CSRF https://doc.nette.org/cs/3.0/forms#toc-obrana-pred-cross-site-request-forgery-csrf dát informaci o tom, že existuje něco jako session.autoStart: true, což se hodí pokud používáš CSRF protection 🙂 Protože jinak se sessiona startuje až v šabloně při výpisu end tagu formuláře a to spadne na: headers already sent.

To tam samozřejmě patří, možná teda lepší než autoStart je v presenteru udělat $this->getSession()->start(), protože to není potřeba startovat na každé stránce.

[dg]

Asi to dám jen do v2.4 a do v3.0 napíšu, že tato forma ochrany je už deprecated, protože všechny současné prohlížeče zvládají ochranu pomocí samesite cookies.