最近在了解csrf这块，看了半天觉得没有很好的完善的方案去避免这个漏洞

首先，通过Cookie的方式，即便是httponly的，js读取不到，该域名登录获取权限（服务器set-cookie）后，通过配置伪造域名，host或者代理，是不是一样可以利用Cookie实现攻击； 其次使用Token方式， 1.对于一次性使用的，a.网页回传前在html渲染注入token，b.或者api利用上一步接口返回token作为下一步接口的参数，前提是a.网页获取和b.第一步接口验证假设安全，能够返回token给用户的情况下，js一样可以读到这个token值（尤其是a），伪造一个request； 2.token本地存储（Cookie，Storage）通过有效期控制的情况，这种能够通过js读写，一旦js程序被破解，还是能发起攻击。

了解eggjs，关于这块说的不是很清楚，token存储在session什么意思，https://eggjs.org/zh-cn/core/security.html#session-vs-cookie-存储

不知道这块理解是不是有错误，请了解csrf和eggjs的帮忙解惑。