放 cookie 中,但是后端不读 cookie 所有请求需要前端把 token 放到 header 中一个参数下 后端读 header 中的这个参数 这样是不是就可以放置 csrf 攻击了呢? 第三方直接通过服务链接带 cookie 过来,因为后端不读取,所以鉴权不通过
