java为什么在web应用程序中禁用刷新是个好主意（出于安全目的）

我们正在对代码进行XSRF修复。我们使用会话令牌请求令牌比较方法来实现这一点。如果会话令牌不等于请求令牌，我们将重定向到错误页面

问题：一旦进入主菜单页面，如果用户“刷新”页面，就会引发XSRF问题。 原因：因为不会有任何请求令牌（当我们刷新页面时）。由于请求令牌为空且不等于会话令牌，因此引发了XSRF错误

应用程序的用户对这种方法不太满意。那么，有没有办法启用页面刷新？或者禁用页面刷新（出于安全考虑）是绝对必要/重要的吗

提前谢谢