Да, есть смысл использовать CSRF-токен, даже при использовании SameSite-куки в PHP. Оба механизма, CSRF и SameSite, работают на разных уровнях безопасности и предназначены для разных угроз.
CSRF (Cross-Site Request Forgery) - это атака, при которой злоумышленник пытается выполнить действия от имени авторизованного пользователя без его согласия. Для защиты от таких атак используется CSRF-токен, который генерируется на сервере и включается в каждый запрос, выполняемый от имени пользователя. Токен связывается с сессией пользователя и проверяется на сервере при обработке запросов. Если токены не совпадают, запрос считается подозрительным и отклоняется.
SameSite-куки, с другой стороны, предназначены для защиты от атак, связанных с использованием сторонних сайтов в качестве источника запросов (например, для отправки запросов со страниц другого домена). Если SameSite-атрибут установлен в 'Strict' или 'Lax', то браузер отправит куки только для запросов, инициированных с того же домена. Это помогает предотвратить CSRF-атаки, в которых злоумышленник пытается использовать текущие сессионные куки для выполнения запросов с другого домена.
Однако, несмотря на то, что SameSite-куки помогают защитить от некоторых форм CSRF-атак, они не искоренят эту угрозу полностью. Поэтому важно использовать CSRF-токены в дополнение к SameSite-кукам, чтобы создать более надежную защиту от CSRF-атак.
Таким образом, использование CSRF-токена в PHP все равно имеет смысл при использовании SameSite-кук. Это позволяет обеспечить дополнительный уровень защиты от CSRF-атак, которые могут обойти механизмы SameSite-кук. Оба механизма вместе помогут создать более безопасную среду для работы с PHP.