我服了，为啥用 jwt 就不能做 csrf 了？
csrf 防的只是给你嵌一个 get 链接这种弱智攻击，人家说的情景都拿到 session id 了，你一个 csrf 有啥用？

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 禁掉 sessionid 要求重新登录不是更好。你直接把 admin 禁用掉这算什么呢？
: 看你的意思，你是打算否认 csrf 攻击的存在吗？这是另外的话题了。有空再聊。
: 如果你不否认 crsf，那你仔细想一下，不维护 session 怎么在服务器保存 csrf token 用于验证客户端传过来的 token? jwt 能否实现这个目标。
: ...................
--
FROM 122.60.88.*