1-click attack 瀏覽器只能判斷哪個 User 發起的請求,無法判斷這個請求是不是 User 自願發起的
double summit cookie: token in cookie
豪長,豆頁痛:讓我們來談談 CSRF