先说结论：现代应用不需要 CSRF Token。 CSRF 攻击关键在于 cookie，如果 cookie 里不含登陆令牌，你把登录令牌放到其它 header 里就没问题。因为 CSRF 所利用的 form 和四个特殊 tag 都无法添加 header。现代应用的 API 不接受 form 提交，都是 json 风格的，现代的 web 浏览器都具备 CSP，samesite 等防范机制。CSRF 攻击排名过去十年下降了两位。具体看这个解释，如何不用 CSRF Token：https://danielw.cn/web-security-xss-csrf-cn#csrf