cookie 和 token 都存放在 header 中，为什么

xss攻击下，两者都凉凉

token主要是防止csrf攻击，因为token不会被自动带上，cookie会被自动带上。