通过GET请求防止CSRF攻击的安全性?

我在我的web服务器上构建了一个基于JWT的无状态用户身份验证系统,以Stormpath为例( https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage ).

我能够通过包含一个 <img> <img src="https://example.com/account" /> 可能会提供用户的详细信息,和或 <img src="https://example.com/logout" />

是这个吗 < 攻击被认为是无害的,因为浏览器不会透露它收到的投诉?滥用HTML标记是否还有其他伎俩可以通过向GET请求泄露服务器输出而导致敏感信息泄露?

我正在考虑将我的JWT访问令牌的哈希添加到GET URL,并让服务器要求GET请求包含该哈希,并且它必须与cookie中的JWT令牌匹配。这样,攻击者将无法猜测有效的GET URL,同时泄漏此类GET URL将不允许攻击者访问我的服务器,因为他不知道Cookie中的原始JWT。除了一些小的可用性问题外,这个设置对我来说似乎是个好主意,但我还没有在谷歌上搜索出任何类似的内容,所以我很怀疑:)