[网络] 50. cookie 和 token 都存放在 header 中，为什么不会劫持 token？

yisainan / web-interview

我是齐丶先丶森，收集整理全网面试题及面试技巧，旨在帮助前端工程师们找到一份好工作！更多详见公众号「前端面试秘籍」

MIT License

2.62k stars 505 forks source link

Open qiilee opened 4 years ago

HYzoro commented 3 years ago

浏览器发送请求的时候不会自动带上token，而cookie在浏览器发送请求的时候会被自动带上。

csrf就是利用的这一特性，所以token可以防范csrf，而cookie不能。

JWT本身只关心请求的安全性，并不关心toekn本身的安全。