前后端分离项目中的csrfToken获取问题

Question

这篇文章
介绍的方法：

• 第一步：后端随机产生一个token，基于这个token通过SHA-56等散列算法生成一个密文；
• 第二步：后端将这个token和生成的密文都设置为cookie，返回给前端；
• 第三步：前端需要发起请求的时候，从cookie中获取token，把这个token加入到请求数据或者头信息中，一起传给后端；
• 第四步：后端校验cookie中的密文，以及前端请求带过来的token，进行正向散列验证；

第二步后端是如何把token给前端的
如果是一个请求的话 那网站在发送这个获取token的请求后，黑客一样可以看到cookie，然后伪造给下一个请求，起不到防御的作用。

请问第二步是怎么做的？

Answer 1

前后分离架构，一般token都是 service端生成，redirect回前端的时候带在url的参数里的。理论上黑客侵入了浏览器当前域名下执行的js是可以获取到token的。比如tamperMonkey这类插件执行的脚本