先说结论:现代应用不需要 CSRF Token。 CSRF 攻击关键在于 cookie,如果 cookie 里不含登陆令牌,你把登录令牌放到其它 header 里就没问题。因为 CSRF 所利用的 form 和四个特殊 tag 都无法添加 header。现代应用的 API 不接受 form 提交,都是 json 风格的,现代的 web 浏览器都具备 CSP,samesite 等防范机制。CSRF 攻击排名过去十年下降了两位。具体看这个解释,如何不用 CSRF Token:https://danielw.cn/web-security-xss-csrf-cn#csrf