我从cookie里取到csrftoken，就可以访问ajax api啊。
认证信息不就是全凭一个sessionid吗，这不也是在cookie里？
恶意程序除了看不到内容，其它操作都可以拿到权限啊。
--
FROM 116.247.85.*