现在还有用 cookies 吗

token 和 cookie 没有本质的区别。

即使你不用 cookie 那套，自己实现管理 token，这个 token 不一样也要存客户端？

国内的京东、淘宝不一样用 cookie 用的挺欢？

@sunjourney gzip 没有
反正我做前端，接口也是后端定
正好借此机会体验了一把 lazyload+IntersectionObserver+service worker+cache API，可以说很好地丰富了简历了

cookie 是一种存储介质，token 指的是令牌。
楼上讨论的这么欢？

@ChanKc #22 这种瞎搞的搞法，感觉并不能加分，有什么好处吗？总不能简历里都是反标准、负收益的东西吧？

？
token 存 localstorage 或者 indexeddb 不行吗

@ChanKc #22 只能说当玩具练练手比较好

session cookies 傻傻分不清

其实默认情况下，用 custom http header 是比用 cookie （不开 same site 不开 secure 不开 HTTP only ）要安全一些，因为只有同域的 ajax 才能用 custom http header 。
要是 token 放 cookie 里…

不存 cookie 的话，只能存 localStorage 了吧，不过这两者在安全上没啥区别吧

另外 cookie 好像不带 s，有大佬讲一下应该拼 cookie 还是 cookies 么？

@sunjourney 现在很多时候面试啊简历啊都是反标准负收益的东西
我前一阵面试某大厂，问 get 和 post 什么区别，我就按 RFC 标准的答了
面试官问“要是后端不按标准来写呢”
而且这种事情，肯定不会写“我都是因为后端不标准所以我做的这些优化”

你喝水的时候是用杯子还是水？

今天才改了一个由于 cookie 过期导致的 bug

技术论坛一聊七七八八的话题就进水深火热，一聊技术话题就蹦了

我很好奇问出这样问题的人的提问背景。看了楼主的发帖记录，看起来我们对“多年 Java 狗”的理解有点分歧...

@ChanKc #28
token 存哪里呢？存在 localStorage 的话，遇到了 XSS，卒……

还不如存 Cookie 里，起码可以用 HttpOnly 来保护一下……

@chendy #8 除了浏览器，服务端、客户端也能用啊，以 java 为例，很多库都支持 cookie 的。

@ChanKc #30 我会建议后端改成标准

@also24 xss 时我都可以直接利用 cookie 了…还会在乎读 cookie 的值吗…

@ChanKc #38
肯定会啊。。。你直接利用 Cookie 的话，利用脚本必须放在你的 xss 脚本里的嘛。
而且必须用户主动运行你的 XSS 脚本才能执行利用脚本，执行次数很有限嘛。

如果不加 HttpOnly，我 XSS 直接偷你的 Cookie 丢出来，我在外面想怎么用怎么用，多方便。

and 其实搜一下 " XSS 窃取 Cookie " 就能找到很多例子……

@ChanKc #38 cookie 有 secure 的，xss 读不到