摘要： CSRF Token 确实会对网站安全起到一些积极作用，但我想讨论 CSRF Token 对于一个网站是否是必要的。 例如如果已经要求所有非幂等的请求都用 POST 方法提交，是否 CSRF Token 就不必要了呢？ CSRF 和 CORS 的关系又是怎样的呢？ 感谢大家的回答，我已经理解了这个问 阅读全文