如果用 localstorage 替代 cookie 是不是就不存在 csrf 问题了? cookie 随请求自动携带的特性,是不是 csrf 问题的主要原因? localstorage 存储 sessionId + 请求时通过 header 携带 sessionId 的这种方式,与传统的通过 cookie 存储与携带 sessionId 的方式相比,哪种方式更好?
