csrf-token是否是安全的呢

https就没有抓包被抓到的问题了

HTTPS不香吗

抓包都拿到你的登录cookie了，还在乎你这个csrf吗^_

是真的好好理解一下概念去。都抓包了，自己抓自己？有意思吗

防抓包使用 https。 csrf 解决的问题是跨站提交，如你登陆了learnku，即使你关闭了learnku但还是保持着登陆状态。你又访问了其他恶意网站，它构建了一个https:learnku.com/xx表单，由于请求会携带网站的 cookie ,所以成功设置了你的头像。而恶意网站不可能知道你的 csrftoken 的，所以也就无法成功请求。

在thinkphp中有一个token机制每次刷新都会产生新的token，对不上就会提交失败. 也无法防止抓包的

之前论坛里讨论过这个问题
分享：laravel的csrf为什么不每次请求刷新，yii2的都是每次会变更，公司安...
好好看一下