客户端被劫持的话还能怎样

所以安全系统的设计准则之一就是

永远不要相信自己不可控的客户端

【 在 wuhaochi (oo) 的大作中提到: 】
: 我从cookie里取到csrftoken，就可以访问ajax api啊。
: 认证信息不就是全凭一个sessionid吗，这不也是在cookie里？
: 恶意程序除了看不到内容，其它操作都可以拿到权限啊。
: ...................
--
FROM 116.226.157.*