token放在cookie中和放在请求头中的区别

Token存放位置：Cookie vs 请求头

最新推荐文章于 2025-10-28 20:32:11 发布

原创最新推荐文章于 2025-10-28 20:32:11 发布 · 置顶 · 3.6k 阅读

7 ·

CC 4.0 BY-SA版权

本文探讨了将Token存放在Cookie与请求头的区别。存放于Cookie有助于防止XSS攻击，但会使得所有请求自动携带Token；而存放在请求头虽有XSS风险，但能更灵活地控制Token的使用场景。

token放在cookie中和放在请求头中的区别

cookie中: 防止xss攻击,但是导致所有请求都会携带token

请求头中: 会有xss风险,而且前端需要保存token并在每次请求的时候携带…好处是可以控制哪些请求携带,哪些不需要携带

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

NoBugsBoy

关注关注

3
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

解释 JavaScript 中的 XSS (跨站脚本攻击) 和 CSRF (跨站请求伪造) 攻击原理及防御措施。

weixin_41455464的博客

07-26

1132

防御措施原理适用场景输入验证严格验证用户输入，只允许输入符合预期格式的数据。所有接收用户输入的地方，例如表单、URL 参数、Cookie 等。输出编码对用户输入的数据进行编码，使其在 HTML 中显示时不会被解析为代码。所有需要将用户输入的数据显示在页面的地方。控制浏览器能够加载哪些资源，限制恶意脚本的执行。整个网站，可以细粒度地控制不同页面的安全策略。防止 XSS 攻击窃取 Cookie。所有需要保护的 Cookie，例如会话 Cookie。及时更新和修补漏洞。

将SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统，Token过期刷新问题

zzzgd_666的博客

07-18

1万+

前言一般来说，我们用SpringSecurity默认的话是前后端整在一起的，比如thymeleaf或者Freemarker，SpringSecurity还自带login登录页,还让你配置登出页,错误页。但是现在前后端分离才是正道，前后端分离的话，那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的，但是不方便分布式...

参与评论您还未登录，请先登录后发表或查看评论

OAuth2 Token 一定要放在请求头中吗？

冷冷的博客

06-28

6586

Token 一定要放在请求头中吗？答案肯定是否定的，本文将从源码的角度来分享一下 spring security oauth2 的解析过程，及其扩展点的应用场景。 Token 解析过程说明当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口，如下图 ① spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息（UserDetails）的转换。 OAuth2Authenticati

cookie 和 token 都存放在 header 中，为什么不会劫持 token?

热门推荐

jason121388的博客

11-05

1万+

HTTP协议本身是无状态的，所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后，会在服务器存一个session，同时发送给客户端一个cookie，这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储用户再进行请求操作时，需要带上cookie，在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时，都需要带上一个token token的存在形式有很多种，header/requestbody/url 都可以这个token只需要存在

cookie放在请求头_面试必问:session，cookie和token的区别

weixin_39663605的博客

11-20

734

点击上方蓝字关注我们 !session，cookie和token究竟是什么简述cookie，session，token作为面试必问题，很多同学能答个大概，但是又迷糊不清，希望本篇文章对大家有所帮助http是一个无状态协议什么是无状态呢？就是说这一次请求和上一次请求是没有任何关系的，互不认识的，没有关联的。这种无状态的的好处是快速。cookie和session由于http的无状态性，为了使...

cookie放在请求头_cookie和session 区别和联系 http

weixin_39866857的博客

11-20

3170

先来看cookie是什么简单来说就是存储在客户端部分（如浏览器）的键值对信息。用于表面这个客户的一些信息。比如我访问B站后有F12查看浏览器后有这个东西：具体如下：Cookie: _uuid=4D38E74C-049A-0AEF-CB2C-E1F02CBC8ED577062infoc; buvid3=23CA89D8-5400-4434-803F-0B3DE2272C7D48995infoc; L...

前端面试题：Token一般是存放在哪里 Token放在cookie和放在localStorage、sessionStorage中有什么不同

m0_54854317的博客

03-06

1万+

Token其实就是访问资源的凭证。一般是用户通过用户名和密码登录成功之后，服务器将登陆凭证做数字签名，加密之后得到的字符串作为token。它在用户登录成功之后会返回给客户端，客户端主要有这么几种存储方式: 1．存储在localStorage 中，每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中，让它自动发送，不过缺点就是不能跨域。 3拿到之后存储在localStorage中，每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..

Cookie与Header

zcx的博客

11-13

1529

Cookie和Header

django中间件生成csrf_token

fksfdh的博客

03-04

2562

class MiddlewareMixin: #django启动时就执行，与用户无关 def __init__(self, get_response=None): self.get_response = get_response super().__init__() def __call__(self, request): re...

网页或APP抓包请求参数有什么意思，怎么更快的抓包获取这些请求

weixin_46737755的博客

02-01

2540

网页抓包首先对于网页爬虫来说怎么抓包呢？很简单，我们直接在网页上右键点击检查或者快捷键 F12 就可以进入开发者调试工具。如果页面是经过请求接口而返回的数据的话，在 Network 中，它就会产生请求的数据，我们在这里都能捕捉到。我们还是以之前的 P 站为例，我们点开一个接口，这个接口分为两部分，一个是请求的数据，一个是返回的数据，请求的信息主要在 Headers 里面，它主要有以下几部分，第 1 部分，General 里面主要包含了请求的链接 URL 以及他的请求方式，用的多的就是 get 和

淘宝h5 页面 sign加密算法

12-10

2078

1.淘宝sign加密算法淘宝对于h5的访问采用了和客户端不同的方式，由于在h5的js代码中保存appsercret具有较高的风险，mtop采用了随机分配令牌的方式，为每个访问端分配一个token，保存在用户的cookie中，通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign, MTOP利用这个摘用值和cookie中的token来防止UR...

请求头，响应头，cookie 的意思

qq_39355579的博客

06-26

863

https://blog.youkuaiyun.com/weixin_43606158/article/details/100853065 https://blog.youkuaiyun.com/juvenile_/article/details/93501364

Cookie和Token的区别

小男孩tom的博客

11-23

1万+

两者的共同点都是用来判断用户是否“已登录”，至于判断具体是哪个用户，服务器的做法不一样： Cookie 验证是服务器在用户登录时生成用户唯一标识即 Sessionid 并以映射表的形式保存在该台服务器的内存上（一般做法，也可以保存在其他地方），接着将该 Sessionid 通过 set-cookie 头部传给客户端浏览器保存到 cookie，下次同源请求浏览器会自动带上 Sessionid 给服务器，服务器再去查对应的用户 id。 Token 验证是服务器在用户登录时使用密钥对用户信息进

请求时，为什么要携带token？

渣渣的成长之路

08-16

5925

token是什么？ token携带在请求头中，只有登录请求不需要携带token，登录成功后把token返回给前端，以后的请求前端需要携带这个token来才能请求成功！否则请求被拦截…… 为什么要用它？ token的目的是减轻服务器压力，减少数据库请求。如果没有token做一层拦截的，每次请求都会去请求数据库，如果恶意请求，很可能击垮数据库… 如何实现呢？拦截器 JWT：JSON WEB TOKEN，用于生产token Jwts.builder() .s

前端面试题-token的存放位置

m0_62300955的博客

06-27

1943

前端面试题:token

工程师基础能力（2）：HTTP协议

农夫果园好好喝的博客

03-05

942

关于Cookie的原理、作用，区别

学不死的程序员

03-24

1230

1,客户端第一次访问浏览器的时候,浏览器在本次响应头中给客户端一个cookie. 2,一旦浏览器取到cookie之后,会将cookie保存到本地,之后访问这个服务器的所有请求都将会将cookie放在请求头中发给服务器.这样服务器就可以识别用户（1）每一个服...

Token以及Token的存储

CatCherry的博客

05-06

7615

客户端发送HTTP请求携带的“令牌”，用来鉴权、身份验证（服务器可以知道是谁在请求）

token放在cookie中

07-25

将token放在cookie中有几个原因。首先，cookie是服务器发给客户端的特殊信息，以文本的形式保存在客户端。每次请求都会带上cookie，这样可以方便地在客户端和服务器之间传递token信息。\[2\]其次，cookie具有同源...

token放在cookie中和放在请求头中的区别

token放在cookie中 和 放在请求 头中的区别

token放在cookie中和放在请求头中的区别