那肯定是:token安全等级更高。
Referer可以伪造,并且并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。
但是对于token的话,要保证其足够随机且不可泄露
客户端建议存储到sessionstage里
