采用token方式防范CSRF問題，服務(wù)端先生成一個(gè)token，緩存起來，并返回給前端，當(dāng)前端產(chǎn)生重要請(qǐng)求時(shí)候，url附加csrftoken參數(shù)，服務(wù)端再將之與緩存的token比較，從而達(dá)到防范csrf的目的。這里有個(gè)疑問，服務(wù)端產(chǎn)生的token發(fā)給前端，惡意用戶不也能獲取這個(gè)token嗎，拿到它也能達(dá)到自己的目的啊？