求问大佬，或者搞网安的同学。token和cookie相比有安全性上的优势吗？因为拿xss来说，假如能注入攻击代码，那无论是获取cookie还是你内部对token的处理都只是几行代码而已。