Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
怎样防范被人肉搜索?如何防范中间人攻击(man-in-the-middle attack)?
斯诺登是卖国贼吗?
外界对于黑客都存在哪些误解?
网银的密码控件到底做了哪些安全保护工作?
这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗?
你的初次渗透成功是怎么搞定的?
MD5是32位的,也就是说理论上是有限的,而世界上的数据是无限的,那会不会生成重复的MD5值?
有哪些短小却令人惊叹的 JavaScript 代码?
为什么网络上有关青少年的灰色内容层出不穷?背后是否存在产业链等利益因素?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?红芯浏览器真的自带了假的证书用以监控 HTTPS 内容吗?
一个黑客如何调戏另一个黑客?
乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗?
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?
如何通过事件查看开放公网远程桌面的电脑有没有被访问?
普京签署总统令「禁止国家重要基础设施部门使用外国软件」,如何评价这一做法?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
XcodeGhost 事件会造成什么影响?
用工具的人能称得上的黑客吗?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
如何看待特朗普宣布解雇网络安全局局长,称其发布的关于大选声明极不准确?
深度学习在信息安全的应用有哪些可以关注的人或论文?
国家是如何开展净网行动?如何知道用户网盘有没有非法视频,是否侵犯了用户隐私?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
零基础学习网络安全这一块,请问有哪些相关资料可以推荐一下?
网络安全该从何入手?
如何看待国家网信办等七部门进驻滴滴开展网络安全?
ISP给的100M带宽到底是怎么算的?
一个黑客如何调戏另一个黑客?
支付宝在用户不知情的情况下给用户名加上“宝宝”二字,是否构成侵权?
如何看待云舒离开阿里巴巴?
黑客为什么不攻击卫星?
该如何系统的学习网络安全方面的知识?
2020 年中国境内约 531 万台主机遭境外网络攻击,前三来自美国及其北约盟国,说明了什么?
信用卡管理 Apps 通过邮件读取账单,为什么会有这么过分的设计?
电脑需不需要有杀毒软件呢?
为什么那么多人推荐火绒?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?