From c508f9fa7dedbc8c3c4f6319b7233a034db463b4 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?TZ=20=7C=20=E5=A4=A9=E7=8C=AA?= <atian25@qq.com>
Date: Thu, 19 Oct 2017 22:36:00 -0500
Subject: [PATCH] docs: fix csrf (#1551)

---
 docs/source/zh-cn/core/security.md | 15 ++-------------
 1 file changed, 2 insertions(+), 13 deletions(-)

diff --git a/docs/source/zh-cn/core/security.md b/docs/source/zh-cn/core/security.md
index 897ec2e7dd..9c22f206be 100644
--- a/docs/source/zh-cn/core/security.md
+++ b/docs/source/zh-cn/core/security.md
@@ -265,21 +265,10 @@ CSRF 攻击会对网站发起恶意伪造的请求，严重影响网站的安全
 
 ##### 同步表单的 CSRF 校验
 
-在同步渲染页面时，所有的表单请求中增加一个 name 为 `_csrf` 的隐藏域，值为 `ctx.csrf`，这样用户在提交这个表单的时候会将 CSRF token 提交上来：
+在同步渲染页面时，在表单请求中增加一个 name 为 `_csrf` 的 url query，值为 `ctx.csrf`，这样用户在提交这个表单的时候会将 CSRF token 提交上来：
 
 ```html
-<form method="POST" action="/upload" enctype="multipart/form-data">
-  title: <input name="title" />
-  file: <input name="file" type="file" />
-  <input type="hidden" name="_csrf" value="{{ ctx.csrf }}">
-  <button type="submit">upload</button>
-</form>
-```
-
-CSRF token 也可以通过 url query 传递：
-
-```html
-<form method="POST" action="/upload?_csrf={{ ctx.csrf }}" enctype="multipart/form-data">
+<form method="POST" action="/upload?_csrf={{ ctx.csrf | safe }}" enctype="multipart/form-data">
   title: <input name="title" />
   file: <input name="file" type="file" />
   <button type="submit">upload</button>