Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
如何看待在5月12日爆发的勒索病毒事件中,某些媒体纷纷推荐360?为什么公安、新闻光强调网络诈骗要预防,真正解决的却寥寥无几?
如何评价「QQ 安全中心」?
前端嫌我接口分的太多,我该怎么回答?
外界对于黑客都存在哪些误解?
ISP给的100M带宽到底是怎么算的?
中方近日密集发声,反驳多个西方国家和组织有关网络安全的错误涉华言论。这些人无端将矛头指向中国是何居心?
asp.net MVC 和Web Form 相比各有什么优缺点?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
情色网站把服务器放在香港或者美国,警察除了封域名ip,能抓他们吗?为什么那么多人推荐火绒?
支付宝在用户不知情的情况下给用户名加上“宝宝”二字,是否构成侵权?
欧洲国家是否有墙?
想学网络安全,推荐自学还是系统学啊?
人工智能已在哪些领域超越了人类的表现?
避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?
Web 前端密码加密是否有意义?
中央网信办将重点整治借热点事件等挑动网民对立,进行人肉搜索、辱骂攻击等网络暴力行为,哪些信息值得关注?
为什么以色列的网络安全,存储方面这么有竞争力?
如何看待国内一些互联网企业因为有墙而强大?
海底国际光缆的位置是不是国家机密?
asp.net MVC 和Web Form 相比各有什么优缺点?
为什么支付宝、国内网银多要装控件,而国外的ebay、paypal、网银很少需要装,是技术原因还是需求?
如果用VxWorks内核和Mips架构开发专用硬件防火墙是否性能上会比宏内核OS和CISC架构更强?
如何看待印度APT黑客组织攻击我国医疗机构?
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?
如何优化如图所示的,将父类实例扩展为子类实例的代码?
如何看待「护苗 2015」行动?
.NET 和 Java 在 Web 开发上各有什么优缺点?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
互联网平台推出的「青少年模式」是否有效?还有哪些改进空间?
二进制安全方向有没有可能在可见的未来里慢慢地消失?
想学网络安全,推荐自学还是系统学啊?
如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗?
为什么下载的破解游戏经常会被报毒?
黑客为什么可以做到无需知道源码的情况下找出系统漏洞?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ?
如何评价支付宝官方对于此次用户账户被他人实名认证事件的解释?