使用JWT进行浏览器接口请求，在使用Cookie进行会话保持传递Token时，可能会存在 CSRF 漏洞问题，同时也要避免在产生XSS漏洞时泄漏Token问题，如下图在尽可能避免CSRF和保护Token方面设计了方案。

要点解释如下：
将JWT存入Cookie的优点是无需显式传递，并且对于 image 和文件下载接口比较友好，但是要特别注意设置 HttpOnly 参数禁止通过JS 的方式获取 Cookie，这样能在系统某些场景发生XSS漏洞时也能避免Cookie泄漏。

但是基于Cookie的缺点是会存在CSRF跨站攻击问题。为了避免CSRF问题可以通过自定义Header方式进行接口调用，所以我们可以在使用Cookie存储传递JWT的基础上，增加一个无实际意义并且唯一的sessionId（同时存入浏览器sessionStorage和JWT内容中），每个接口调用都从sessionStorage中读取sessionId并设置到自定义Header中调用接口传递sessionId，在服务端使用过滤器或者拦截器验证自定义header中sessionId的值是否和JWT中的值一致来保证合法性。

注：JWT只是防篡改，但是默认情况下它body区域的内容是不加密的，如果你需要存储相对敏感信息在JWT中，可以对内容区域进行加密，在服务端解密读取内容。

---

（END）