cookie不能防止csrf，而token能防止csrf终于说透了

A：恶意网站   B:存在CSRF的银行网站

cookie：用户点击链接，浏览器会自动带上cookie，拿转账举例：导致用户点击了恶意网站A的超链接B的形式的转账请求，导致不安全，就叫csrf。

token：用户点击链接，由于浏览器不会自动带上token，所以即使发了请求，后端的token验证不会通过，所以不会进行扣款操作。

其实我们也想过cookie和token不都在请求头上吗，就算点击恶意网站A的超级链接B不也能获取token，最重要的一点我们忽略了，token不像是cookie自动附加到请求头中的，token需要我们手动设置到请求头中，不设置是没有的，我们点击第三方恶意网站A浏览器访问的第三方网址，虽然是超链接B又跳转到存在csrf的B网站了，但是，是没有设置token的，所以不会有csrf，如有不足，请指正。