Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
Gmail不允许异地登陆真的是为了保护用户安全吗?如何看待大量国产输入法被下架?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
外界对于黑客都存在哪些误解?
如何评价黑客吴石?
什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密?
怎么回答面试官的题目:你是怎么理解 http?
.NET 和 Java 在 Web 开发上各有什么优缺点?
如果美国断开对中国的根服务器,逼迫我们闭关锁国会怎么样?
现实中黑客可能攻入证券交易所吗?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
2015年6月30日 闰秒 为什么世界多一秒钟会有这么大影响?各位走过路过大佬帮忙看一下是这本书是不是太无聊了?能不能提一点意见ಥ_ಥ?
如何看待大量国产输入法被下架?
一个黑客如何调戏另一个黑客?
大家如何看待all in web?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
WanaCry 病毒事件(永恒之蓝攻击事件)的始作俑者如果被抓了会受什么惩罚?
web前端是不是没有前景了?
网络安全真的那么好吗?
xss到底是怎么攻击的?
如何看待0.5元可买到身份匹配的人脸数据?如何才能避免信息泄露?
个人开发web应用,从需求设计,界面设计,数据库设计,API设计等,好的开发流程是怎么样的?
随机确定密文的加密方式,密码有办法被破解吗?
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?
如何对付背后阴人的龌龊小人?
有哪些鲜为人知的网络冷知识和技巧?
C#的Delegate 为什么没在其他主流语言中普及?
请问一下,跨平台解决方案中,Qt 和 Electron 孰优孰劣?
想学网络安全,推荐自学还是系统学啊?
如何看待兼修网络安全和人工智能?
如何看待湖南一镇党委书记系「爱马仕」皮带,官方回应称「系 140 元仿制品」?
SolarWinds软件被黑客入侵,其目标和影响有哪些?
如何看待湖南一镇党委书记系「爱马仕」皮带,官方回应称「系 140 元仿制品」?
有哪些被骇客攻击的趣事?
大学生适合购买阿里云服务器哪个产品?
如何用C语言和windows api实现一个基本的ssl协议?(参考资料已备齐)
有哪些鲜为人知的网络冷知识和技巧?
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?
怎么回答面试官的题目:你是怎么理解 http?
C#的Delegate 为什么没在其他主流语言中普及?