为了防止csrf攻击,通常除了在cookie设置token,一般还要在表单上有一个隐藏的token。而这两个一般是由服务器传过来的,那如果这个表单上的token直接用js获取cookie上token作为其值是否安全?
// HTML 有一个隐藏域token
<input id="token" type="hidden" name="token" value="" />
// JavaScript(jQuery) js将cookie中token作为隐藏域token的值
var cookie_token = $.cookie('token');
$('#token').val(cookie_token);
// 请求时带上这个隐藏域token和cookie中的token,这样做Web是否可能遭受csrf攻击,或者其它什么安全风险?