《CSRF 攻击的应对之道》这篇文章里有提到：“要把所有请求都改为 XMLHttpRequest 请求，这样几乎是要重写整个网站，这代价无疑是不能接受的” 我们前端架构早已经告别了服务端语言（PHP/JAVA 等）绑定路由、携带数据渲染模板引擎的方式（毕竟是 2011 年的文章了，我们笑而不语）。 当然， 前端不要高兴的太早：前后端分离之后，Nodejs 不具备完善的服务端 SESSION、数据库等功能。