csrffilter为每个请求创建csrf令牌。因此，我想我不会再使用令牌。
为什么spring安全默认使用httpsessioncsrftokenrepository在会话中存储令牌？
然后
向客户端发送令牌时，将其放入响应头和使用cookie之间有什么更好的区别？