在node csurf防csrf攻擊中 前端先請求一個token然后每次發請求時帶上這個koken進行校驗，但是黑客可以在頁面種抓取到這個token，然后在自己的網站上模擬請求時再帶上這個token，這時csurf不扔然沒有起到作用嗎？