javascript - 可以使用(加密强度高的) session cookie 作为 CSRF token 吗？