browser 自动管理 cookie 客户端不用管，设个 http only 又不用担心第三方 js 读，好处自然也是有的。所以这东西没什么绝对好或不好，最后选什么技术怎么用，都是各种利弊权衡之后的结果

【 在 menghan (skybluee) 的大作中提到: 】
: 没有哪种方案是绝对安全的，都需要 trade off
: csrf 只会发生在 web 场景，为什么呢，因为 web 使用 cookie。走 cookie 通道的都有 csrf 问题，不论是 sessionid, jwt, login/password, apikey/apisecret, bblabbla.
: sessionid 的认证和 jwt 的认证不在于是否走 cookie "通道"，而在于是否自签名。
: ...................
--
FROM 101.98.83.*