Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
6位PIN码/数字密码是否比传统字符密码更加安全?如何看待货拉拉 CEO 发长沙事件反思信:「难辞其咎,不逃避尽力做好」?其还可以从哪方面进行安全提升?
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?
如何看待ACCN经常性的攻击网络公司进行敲诈勒索并且没有得到治理的现象?
WIN7网络连接成功后,有个白框一闪而过,这方面的大神能帮忙看看,给个原因或可能有效的探索方向么?
求问如何建设网站?
asp.net mvc FormsAuthenticationTicket 如何防御cookie胁持?
为什么公安、新闻光强调网络诈骗要预防,真正解决的却寥寥无几?
「杀毒软件之父」75 岁约翰·迈克菲死于西班牙监狱中,他做出了哪些贡献,如何评价他的一生?
ASP.NET MVC 如果全部用异步 Controller,会有什么效果?会成为高吞吐量,高并发的网站么?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
在有关部门的要求下,知乎官方会依法取匿吗?海底国际光缆的位置是不是国家机密?
目前黑客的社会工程学攻击到达了什么程度?如何应对社工攻击?
美国国会举行听证会讨论 「Web3.0」,目前技术发展状况如何?未来可能在哪些领域带来新发展?
接触暗网会有怎样的后果?
公司规定所有接口都用 post 请求,这是为什么?
若实行网络白名单会是怎样一种机制?
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?
独立开发先写前端还是先写后端?
WinPE 能破解 Windows 的密码,这样 Windows 就不安全吗?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
登录知乎时,账号密码是明文传送的,安全吗?
Web 前端密码加密是否有意义?
网页设计中最常用的字体有哪些?(中文和英文)
有哪些被骇客攻击的趣事?
ActiveX 到底差在哪?
如何看待大量国产输入法被下架?
疑似被新浪微博官方盗号,如何收集证据起诉?
大龄、零基础,想转行做网络安全。怎样比较可行?
如何看待印度APT黑客组织攻击我国医疗机构?
暴露自己IP地址有危险吗?
先用md5,再用sha1,这样密码会安全一点吗?
近期中国互联网持续遭受境外网络攻击,境外组织控制中国境内计算机,对俄乌等国进行网络攻击,会有哪些影响?
PHP的未来在哪?
为什么部分外行人看起来不太复杂的网站,比如Facebook,需要大量顶尖高手来开发?
网银的密码控件到底做了哪些安全保护工作?
前后端分离项目,接口返回 200 但是里面返回 500 合理吗?
为什么下载的破解游戏经常会被报毒?
如何看待 WebAssembly 这门技术?
做软件开发但是现在公司学不到技术性东西想跳,自己又技不如人怎么办?