请简述cookie和token在header中的存放机制，以及为什么token不容易被劫持？

解答思路：

这个问题涉及到Web开发中常见的两种技术：Cookie和Token，以及它们为何在传输过程中安全性有所不同。首先，需要理解Cookie和Token的基本概念，然后解释为何Token在传输过程中更难以被劫持。

1. Cookie：Cookie是服务器发送到用户的浏览器的一小块数据，存储在用户的本地计算机上。当用户再次访问该网站时，浏览器会将Cookie发送回服务器，以便服务器识别用户身份。由于Cookie存储在客户端，因此存在被劫持的风险。通过HTTPS协议和其他安全措施可以提高Cookie的安全性。

2. Token：Token是一种令牌机制，用于身份验证和授权。在用户登录后，服务器会生成一个Token并将其发送给客户端。客户端在之后的请求中会把这个Token放在HTTP请求的Header中发送给服务器，以验证用户身份。Token具有时效性，过期后需要重新登录生成新的Token。由于Token通常具有短暂的有效期，即使被劫持，攻击者也只能在短时间内使用，而且一旦用户发现异常，可以立即更换新的Token。此外，Token还可以通过加密等手段提高安全性。

然后，关于为何不会劫持Token的问题。主要原因在于Token的特性以及现有的安全措施：
（1）Token的有效期较短，攻击者即使获取了Token，也只能在短时间内使用；
（2）Token通常使用加密技术来保护，增加了攻击的难度；
（3）现代Web开发中，常常使用HTTPS协议来传输Token等敏感信息，提高了传输过程中的安全性；
（4）Token通常不会存储在用户本地，而是由客户端持有并用于后续请求，降低了被劫持的风险。

最优回答：

Cookie和Token都存放在HTTP请求的Header中。由于Cookie存储在客户端本地计算机上，存在被劫持的风险。而Token由于其短暂的有效期、加密技术和不在客户端存储的特性，使得其被劫持的风险较低。此外，HTTPS协议等安全措施也提高了Token等敏感信息在传输过程中的安全性。因此，相对于Cookie来说，Token更不容易被劫持。