拿到 sessionid 发动重放攻击跟 csrf 攻击是两件事。我原本就是分成两段话来讨论的。你为啥非常要混在一起呢？

至于 jwt 能不能做 csrf，要不你来说说后端不搞 session 的方案吧。

【 在 eGust (十年) 的大作中提到: 】
: 我服了，为啥用 jwt 就不能做 csrf 了？
: csrf 防的只是给你嵌一个 get 链接这种弱智攻击，人家说的情景都拿到 session id 了，你一个 csrf 有啥用？
--
修改:hgoldfish FROM 111.142.201.*
FROM 111.142.201.*