Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?浏览器是网络安全的最大漏洞吗?
如何评价黑客吴石?
谈谈机器学习在网络安全领域的局限性,以及是否乐观?
初学者对渗透测试的总结?
如何看待目前国内「隐私计算」行业现状,市场发展有哪些趋势?
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?
如何看待国家网信办对「BOSS直聘」「运满满」「货车帮」实施网络安全审查?透露出什么信号?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
谈谈机器学习在网络安全领域的局限性,以及是否乐观?红芯浏览器真的自带了假的证书用以监控 HTTPS 内容吗?
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
对电脑一点都不了解可以学习信息安全技术吗?
如何对付背后阴人的龌龊小人?
「杀毒软件之父」75 岁约翰·迈克菲死于西班牙监狱中,他做出了哪些贡献,如何评价他的一生?
公司是否能够亦或是否有权截获员工在公司电脑使用https访问网站的内容?如何实现?
黑客能黑超算吗?
如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样?
据各种情报综合分析,这两天知乎被谁攻击了?
HTTPS可以防止中间人篡改内容吗?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗?
网银的密码控件到底做了哪些安全保护工作?
为什么整个127.*网段都被拿来当做环回地址了?
现在大多数中国Web前端开发工程师是否会考虑无障碍性(Accessibility)?
海底国际光缆的位置是不是国家机密?
黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
程序员如何提高安全的编码能力?
如何禁止学生启用防火墙防止学生退出电子教室?
二进制安全方向有没有可能在可见的未来里慢慢地消失?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
asp.net mvc FormsAuthenticationTicket 如何防御cookie胁持?
想学web渗透,没有语言基础,没有网络基础,怎么才能入门?
给我女神发消息,隔壁的二狗在同一 Wi-Fi 下,能收到我的帧吗?
大龄、零基础,想转行做网络安全。怎样比较可行?
如何对付背后阴人的龌龊小人?
如何看待国家网信办拟规定「掌握超过 100 万用户个人信息的运营者赴国外上市须审查」?
我想学习网络安全这方面,如何开始学习?
常见的网络攻击类型有哪些?