缺少TOKEN參數(shù)是什么意？

Token被用戶端放在Cookie中（不設(shè)置HttpOnly），同源頁面每次發(fā)請求都在請求頭或者參數(shù)中加入Cookie中讀取的Token來完成驗證。CSRF只能通過瀏覽器自己帶上Cookie，不能操作Cookie來獲取到Token并加到http請求的參數(shù)中。

所以CSRF本質(zhì)原因是“重要操作的所有參數(shù)都是可以被攻擊者猜測到的”，Token加密后通過Cookie儲存，只有同源頁面可以讀取，把Token作為重要操作的參數(shù)，CSRF無法獲取Token放在參數(shù)中，也無法仿造出正確的Token，就被防止掉了