浏览器不会自动不会自动带上token,csrf攻击是不会自动在hread里面添加token。
而cookie在浏览器发送请求的时候会自动带上。
JWT本身只关心请求的安全性,并不关心toekn本身的安全。