标签: authentication cookies restful-authentication http-token-authentication
从实际的角度来看,XSS可以攻击所有内容。如果有人可以窃取您的身份验证令牌并完全模拟您。
但是,如果您使用仅HTTP的Cookie并通过JSON发布数据,则即使使用XSS,也无法有人模仿您。
这是正确的吗?如果是这样,为什么会有从Cookie切换到令牌认证的趋势?大多数网站不需要跨域身份验证,即使这样做,它们仍然可以使用短暂的一次性令牌。