CSRF的前提是你先得做好XSS跨站脚本防御--主要方式就是所有的前后端动态输出都得加过滤。
有人从后门进来，你埋怨前门锁的质量毫无意义。
【 在 wuhaochi 的大作中提到: 】
: 我从cookie里取到csrftoken，就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗，这不也是在cookie里？
: 恶意程序除了看不到内容，其它操作都可以拿到权限啊。
: ...................
--
修改:dhcn FROM 124.42.13.*
FROM 124.42.13.*