<div dir="ltr">since CSRF attacks are basically meant for, logged in users, so the developer will include the library and initiate it only for those pages. So I don't think we need to keep another list for POST?<br></div>

<div class="gmail_extra"><br clear="all"><div><div dir="ltr"><div><br></div><font face="courier new, monospace" color="#444444">Minhaz, </font><div><font face="courier new, monospace" color="#444444"><a href="http://minhaz.cistoner.org" target="_blank">minhaz.cistoner.org</a> || <a href="http://cistoner.org" target="_blank">cistoner.org</a></font></div>

</div></div>
<br><br><div class="gmail_quote">On Fri, May 30, 2014 at 11:42 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Also not all POST need CSRF protection:  a public comment form, a
    public registration form, or login do not need tokens.<div class=""><br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <div>On 5/29/14, 6:55 PM, Minhaz A V wrote:<br>
    </div>
    </div><div class=""><blockquote type="cite">
      <div dir="ltr">
        <div>I could not think of a good configuration name for this
          field, where user maintain url/regex of those pages for which
          CSRF validation (GET) is supposed to be done. Available at: <a href="https://github.com/mebjas/CSRF-Protector-PHP/blob/GET-support/libs/config.php#L17" target="_blank">https://github.com/mebjas/CSRF-Protector-PHP/blob/GET-support/libs/config.php#L17
          </a><br>
          <br>
        </div>
        suggest me one,<span> <b>verifyGetFor </b>doesn't
          look good as a parameter name :O<br>
        </span><br>
      </div>
    </blockquote>
    <br>
  </div></div>

</blockquote></div><br></div>