cookie 和 token 都存放在 header 中，为什么不会劫持 token？