现在还有用 cookies 吗

@also24 可以，受教了
所以就是同样受害，影响范围不一样是吧

cookie 和 token 有啥关系，没太懂

@ChanKc #41
恩，并不是防止攻击，只是控制损失，其实我觉得这也算是使用 Cookie 来存储凭据的一部分优势。

顺便说一下：
我并不是拥护 Cookie，Cookie 机制也有很多劣势（例如无脑带 Cookie 导致无关请求的体积增大）；
只是说在 『限制 JS 读取凭据』这件事上，Cookie 有一定的优势。

token 不就是个约定俗成的名吗？和 cookie 有关系？

cookie 哪里不安全了。token 被人知道了，在有效期内，你没做唯一客户端校验，不一样风险吗？

🎣？

楼主确定不是来🎣的？

楼主看一眼 http 的报文，uri/body/header/cookie 这些东西只是划分内容的标记，保证安全需要的是策略和算法
想起面试时经常问 get/post 有什么区别，很多小伙伴答 post 更安全

这不是个技术论坛吗？你们还能讨论用 cookie 还是 token 这么火热的。

V 站这种提奇葩问题的奇葩楼主越来越多了，已经让人搞不懂是为了钓鱼还是真的太菜了

你是说把 token 放在 header 里和放在 cookie 里的区别？

@ochatokori 存在这种本地存储才不安全

前端程序员果然垃圾

@wangritian post 的却略微安全一点，可以避免用户把整个链接复制给别人的时候带上一些奇奇怪怪的东西

楼主想说的是将 token 放在 Header 中吧，我们之前的前端主要是 App，采用的这种方式。

如果是 B/S 的话，通常做法是把 token 放在 cookies 中吧

楼主想说的是将 token 放在 Header 中吧，我们之前的前端主要是原生 App，采用的这种方式。

如果是 B/S 的话，通常做法是把 token 放在 cookies 中吧

你给我解释解释什么叫做 token ？
我问你什么叫做 token?

@also24 httponly 的本质是限制 js 无法操作 cookie

@madNeal #58
对啊，这不就是我要表达的意思么？

放进 localStorage 的话，XSS 脚本就能获取到（然后发送出去）；
放加了 HttpOnly 的 Cookie 里面，XSS 脚本获取不到了，于是就不会有（能发出去）这个问题。

本来看到这种问题我就很无语，后来看到一部分回答，更无语。。。

麻烦大家提高一点专业素质，真当码农是农民呢。