防范 csrf 攻击措施中，为什么不建议在 url 中加入 token，？

Question

网上找的资料一般认为在 url 中加入 token 可能会导致泄露，但这一点我始终无法理解，望指点。

Answer 1

个人的一点点理解：
如果你的网站都是自己内部的地址，那带token应该是没什么问题的。但是如果在一些论坛之类的地方，一个网站上可能有各种链接，那就有问题了。
一个论坛网站W：http://a.com，如果访问论坛里面某个链接的地址是article.html?id=&token=, 这时候有个危险链接article.html?id=222&token=111，该页面是用户编辑的，里面挂了个诱惑性的地址http://d.com/danger.html, 在danger.html里面有个获取Referer的方法，得到了一个token，还有一个图<img src="http://a.com/modifyPwd?token=*">

1. 用户U登录论坛W，授权成功
2. 用户点击链接article.html?id=222&token=111，
3. 用户点击了诱惑性的网址http://d.com/danger.html
4. danger.html内通过img发出了http://a.com/modifyPwd?token=*
5. 跨域攻击成功