Это зависит.
Обычно пользователь может видеть все заголовки запроса в HTTP-запросе на панели «Сеть» инструмента Chrome dev.
Однако после Chrome 67 появилась новая функция с именем " Изоляция сайта ", которая по умолчанию включена. В результате:
В Chrome DevTools файлы cookie и другие заголовки запросов не отображаются на панели сети для запросов межсайтовых субресурсов.
То есть, если токен JWT передается с помощью cookie на сайте поддоменов, а домен JWT-cookie является подстановочным знаком, он не будет отображаться на панели «Сеть».
Вот пример. Домен cookie token - .miaotest.com, и он используется в HTTP-запросе к сайту cshao.miaotest.com. Хотя этот файл cookie успешно передан в бэкэнд, вы не увидите его в разделе «Запрос заголовков» в инструменте разработки.
Информация
Cookie token на панели «Приложение»:
Cookie token отправлено, но не отображается на панели «Сеть»:
Обратите внимание, что функцию «Изоляция сайта» можно отключить, посетив chrome: // flags / # site-изоляция-trial-opt-out в Chrome.