在瀏覽器中需要使用Ajax訪問RESTAPI,Token保存在cookie或localstorage中是否可行,會不會被竊取或者CSRF攻擊?如果使用JS讀取來添加到請求中,那么當第一次訪問時,如何帶上Token?(根據有無Token判斷用戶身份來渲染首頁).剛剛接觸前端沒多久,Web安全方面不是很懂,請知道的朋友幫忙解答一下,謝謝.