Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
该如何系统的学习网络安全方面的知识?web前端是不是没有前景了?
中央网信办将重点整治借热点事件等挑动网民对立,进行人肉搜索、辱骂攻击等网络暴力行为,哪些信息值得关注?
如何看待美国研究人员设计出的「无法被黑的芯片」?
现在大多数中国Web前端开发工程师是否会考虑无障碍性(Accessibility)?
如何通过事件查看开放公网远程桌面的电脑有没有被访问?
有什么推荐的安全的聊天软件?
用 HTTP 数据加密和 HTTPS 有什么区别?
SolarWinds软件被黑客入侵,其目标和影响有哪些?
作为安全工程师你收到过哪些奇葩的私信?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
木马和病毒有何区别?作为一名网络安全工程师,有哪些专业技能需要掌握?
如何看待货拉拉 CEO 发长沙事件反思信:「难辞其咎,不逃避尽力做好」?其还可以从哪方面进行安全提升?
如何看待兼修网络安全和人工智能?
为何自从熊猫烧香以后中国再也没有爆发过类似于此的大规模网络病毒事件?
如何优化如图所示的,将父类实例扩展为子类实例的代码?
服务器保存用户密码的方式都有哪些?
市售的『USB 键盘记录器』可以记录和窃取账号密码,是什么原理?
学习网络安全并想参赛只靠自学行吗?
有哪些短小却令人惊叹的 JavaScript 代码?
现在大多数中国Web前端开发工程师是否会考虑无障碍性(Accessibility)?
媒体实测发现「微信或取消外链卡片式转发分享」,可能会带来哪些影响?
请教一个https安全问题?
登录知乎时,账号密码是明文传送的,安全吗?
从事网络安全领域在以后会吃香吗?
如何看待中美两国网络防御技术对比?
交通信号灯可以被黑 (hack) 吗?
学java是不是只能做网页开发?
如何评价黑客吴石?
中小型网站被 DDOS 了怎么办?
「18岁黑客窃取银行卡信息 涉案15亿元」从技术层面上来看是否可行?
如何评价知乎 2017 年 1 月 的改版?
用 HTTP 数据加密和 HTTPS 有什么区别?
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
学java是不是只能做网页开发?
前端能否限制用户截图?
如果用VxWorks内核和Mips架构开发专用硬件防火墙是否性能上会比宏内核OS和CISC架构更强?
如何评价支付宝 9.0 关闭手势解锁功能?
威胁网络安全的因素有哪些?
前端嫌我接口分的太多,我该怎么回答?