Answer 1

容我抖个机灵，深度优先json.parse(json.stringify(obj))

Answer 2

1攻击者通过xss拿到用户的cookie然后就可以伪造cookie了。
2或者通过csrf在同个浏览器下面通过浏览器会自动带上cookie的特性
在通过 用户网站-攻击者网站-攻击者请求用户网站的方式 浏览器会自动带上cookie
但是token
1 不会被浏览器带上 问题2 解决
2 token是放在jwt里面下发给客户端的 而且不一定存储在哪里 不能通过document.cookie直接拿到，通过jwt+ip的方式 可以防止 被劫持 即使被劫持 也是无效的jwt

原问题是 #32 （在本问题的语境下，token 默认存储在js自定义http head上）
用问题一

1攻击者通过xss拿到用户的cookie然后就可以伪造cookie了。

来说明token比cookie安全并不成立。
都成功的xss了，我拿cookie干嘛，我直接插入脚本，都能直接在用户浏览器里面发ajax请求了（token也要存在页面上），管他token,cookie,都得完蛋。

但是问题二是成立的，对比token,cookie不安全的地方在于会被浏览器自动带上，所以crsf攻击才管用。

所以问题并不成立，在xss攻击面前，token 和 cookie 都凉了。