常见形式解决方案设置 CSRF Token在响应中设置 Cookie 的 SameSite 属性(浏览器有兼容问题)常见形式利用邮件链接, 诱使用户点击, 从而利用用户已登录的网站的 session 去发送请求 解决方案设置 CSRF Token因为 CSRF 攻击者不能获取到 Cookie 等信息,只能冒用。服务端生成 CSRF Token, 并且设置到浏览器的 Cookie 之中客户端每次请求都需要从 Cookie 中读取出 CSRF Token请求提交到服务端之后, 服务端会比较 CSRF Token在响应中设置 Cookie 的 SameSite 属性(浏览器有兼容问题)https://tech.meituan.com/2018/10/11/fe-security-csrf.html