Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
如何成为安全架构师?国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
如何看待国家网信办等七部门进驻滴滴开展网络安全?
东北重新焕发生机的时候会是我国富强之时吗?
黑客能黑超算吗?
如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样?
为什么有面试官喜欢让面试者用纸笔写代码?
网络日记放在哪儿最安全?
课堂上传纸条如何防范中间人攻击?
GET 和 POST 到底有什么区别?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
如何看待黑客组织 Anonymous 声称将大规模攻击中国政府网站的事?为什么form表单提交没有跨域问题,但ajax提交有跨域问题?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
零基础如何学习 Web 安全?
如何评价支付宝官方对于此次用户账户被他人实名认证事件的解释?
为什么form表单提交没有跨域问题,但ajax提交有跨域问题?
前端无代码应用的可行性?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
各位自学网络安全的朋友们,你们的路线是什么?
全面普及 HTTPS 有意义吗?
如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功?
315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么?
接触暗网会有怎样的后果?
求问如何建设网站?
Web 前端密码加密是否有意义?
Windows 系统关于用户和权限的逻辑是怎样的?
如何看待目前国内「隐私计算」行业现状,市场发展有哪些趋势?
百度是如何获取用户搜索内容并确定用户电话号码并提供给第三方的?
.NET 和 Java 在 Web 开发上各有什么优缺点?
电脑需不需要有杀毒软件呢?
机器学习在Web攻击方向有什么建树吗?
用什么方式记密码最好?
东北重新焕发生机的时候会是我国富强之时吗?
黑客为什么不攻击卫星?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?
该如何系统的学习网络安全方面的知识?
全球最大肉食品加工商遭网络攻击关停,白宫称:黑客可能来自俄罗斯,事实可能是怎么样的?
如何看待目前国内「隐私计算」行业现状,市场发展有哪些趋势?
如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样?
如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功?