搜索‘token 放header’看到的大都是2017-2018的，以前不是认证信息都放cookie吗？如果因为cookie不安全，cookie可以设置same-site防止CSRF攻击，可以设置httpOnly防止cookie劫持类攻击，如果说用户禁止cookie，不是有那种“本网站需要开启cookie”的提示吗？