一样啊，csrf 就是一个 random token 而已，我后端再生成一个 jwt 把 random token 和用于身份验证的 jwt 都签在一起不就完了？

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 拿到 sessionid 发动重放攻击跟 csrf 攻击是两件事。我原本就是分成两段话来讨论的。你为啥非常要混在一起呢？
: 至于 jwt 能不能做 csrf，要不你来说说后端不搞 session 的方案吧。
--
FROM 122.60.88.*