采用token方式防范CSRF问题，服务端先生成一个token，缓存起来，并返回给前端，当前端产生重要请求时候，url附加csrftoken参数，服务端再将之与缓存的token比较，从而达到防范csrf的目的。这里有个疑问，服务端产生的token发给前端，恶意用户不也能获取这个token吗，拿到它也能达到自己的目的啊？