<head>
中的元标记或其他东西上,然后在我的服务器上访问它。这确实会简化流程并使其更加透明。我只是不知道怎么办。我真的希望在不涉及 JavaScript 的情况下做到这一点。我认为 Rails 实现了类似的东西......也许有 etag?
上列出了很多方法。不需要在每个表单上都有隐藏字段的方法是检查引荐来源网址。请记住,缺少引用应该被视为 CSRF 攻击,并且可能会导致某些隐私浏览器插件出现问题(这种情况非常罕见)。
如果您不在表单中包含令牌(或使用 JavaScript 以编程方式将令牌添加到页面当前其他位置的表单中),则该令牌不会被发送回服务器。
也许更好的问题是:你真正想要实现的目标是什么?换句话说,为什么您不想在表单中包含 CSRF 令牌?在您的场景中您希望克服的缺点是什么?