坚持纯静态HTML是没有意义的
既给程序员添加了复杂度 又不能给用户带来更好的体验

纯静态的页面我不知道如何使用CSRF token，因为你根本没办法从server带出任何信息，也就是说你这个页面的任何元素都可以不用通过server的信息直接构造出来，因此你从页面提交的任何信息都无法进行甄别来源。。。

@leonwong 就算是CSRF劫持的请求也会带上网站的cookie的，所以光验证session并不能避免CSRF
token的关键是在于你在发送请求的时候一定要保证你是读取了这个页面的。。 而不是凭空就发送请求

@leonwong 没用 你ajax请求数据的时候还是会造成CSRF 这样就没办法达到Form Token效果了
除非你在发第一个请求的时候服务器就能识别出是不是用户自己发的

@leonwong 你为什么质疑 说出来听听吧

你这个如果前台页面完全无法输出信息的话是有点困难 因为这样意味着你的页面的所有东西都是完全可以直接构造出来的。。。。

我是看官网的教程的。。。

@leonwong 没关系 token并不是用来防止重复发帖的
理论上来说只要保证用户提交时会消耗掉一个token就行了

token由服务端产生 与session中的token值比对

可能是alert的时候get还没取回结果
后面那个例子的alert是放在回调函数里的

form token的话一般会存在form元素里的

@pinkman 好像没吧。。。 下载次数限制

@romotc https://www.dropbox.com/terms

dropbox也一样 别想当然的就拿国内来喷。。。
只能说网盘服务大同小异

快修呀！

我擦
正在玩突然工作人员出现了！
还拿了张“健康游戏 请勿沉迷”的纸条
哈哈哈哈哈哈哈！ 是你吗
@ymingjun

@ymingjun 快在边上开发一个留言板！ 大家边抓娃娃边聊天！

@Windweller 可以认为Javascript 是mozilla的标准
其它浏览器支不支持要看能不能普及咯 比如能不能进入ECMA的标准