Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
hook是钓子的意思,它和钓鱼网站有关系吗?数据库预编译为何能防止SQL注入?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
网银的密码控件到底做了哪些安全保护工作?
假如有人把支付宝所有存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?
不用 https 自己实现对 http请求的内容的 rsa 加密,这样足够安全吗?
学习网络安全并想参赛只靠自学行吗?
自动驾驶车如何降低被黑客控制的风险?
百度云“您下载的内容包含违规信息”,有什么方法可以下载?
互联网平台推出的「青少年模式」是否有效?还有哪些改进空间?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
为什么以色列的网络安全,存储方面这么有竞争力?ISP给的100M带宽到底是怎么算的?
在网上自称为黑客的人真的是黑客吗?
如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露?
用工具的人能称得上的黑客吗?
如何系统地自学网络安全?
各位走过路过大佬帮忙看一下是这本书是不是太无聊了?能不能提一点意见ಥ_ಥ?
我想学习网络安全这方面,如何开始学习?
机器学习在Web攻击方向有什么建树吗?
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
大学校方监控学生的上网记录妥当吗?是否侵犯学生隐私?学校通过什么技术手段监控,并且推送通报批评的消息?
为什么电子邮件允许冒充发件人?
斯诺登是卖国贼吗?
登录知乎时,账号密码是明文传送的,安全吗?
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
信用卡管理 Apps 通过邮件读取账单,为什么会有这么过分的设计?
为什么搜索引擎动辄显示找到相关结果约几千万上亿个,但是实际上搜索结果只能翻几十页?
为什么网络上有关青少年的灰色内容层出不穷?背后是否存在产业链等利益因素?
如何看待国家网信办拟规定「掌握超过 100 万用户个人信息的运营者赴国外上市须审查」?
当年黑掉腾讯的「朽木事件」是指什么?
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?
如何看待 CIA 利用瑞士的 Crypto AG 公司窃取 120 多个国家的情报?
百度是如何获取用户搜索内容并确定用户电话号码并提供给第三方的?
独立开发先写前端还是先写后端?
如何优化如图所示的,将父类实例扩展为子类实例的代码?
ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密?
怎么回答面试官的题目:你是怎么理解 http?
假如有人把支付宝所有存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?
怎样防范被人肉搜索?