Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
做开发你遇到最无理的需求是什么?评估内网的web应用意义大吗?
为何自从熊猫烧香以后中国再也没有爆发过类似于此的大规模网络病毒事件?
用什么方式记密码最好?
你的电脑被黑客黑过吗?
网络安全是不是包含了很多板块?
如何看待大量国产输入法被下架?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
大学校方监控学生的上网记录妥当吗?是否侵犯学生隐私?学校通过什么技术手段监控,并且推送通报批评的消息?
如何防范中间人攻击(man-in-the-middle attack)?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
在北上广深一线城市年薪二十、三十、四十万的信息安全人员的生活状态和从业历程是怎样的? ?用frameset时,div被下面的frame覆盖掉怎么解决?
如何系统地自学网络安全?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?
web前端是不是没有前景了?
各种浏览器的隐私/无痕模式能否真的能够解决隐私问题?
不断拉人进群又不行骗是为什么?
浏览器根据charset判断编码方式的疑问?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
在有关部门的要求下,知乎官方会依法取匿吗?
用 HTTP 数据加密和 HTTPS 有什么区别?
如何看待大量国产输入法被下架?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
大家如何看待all in web?
国内做前端年薪有上50W的吗?
电脑需不需要有杀毒软件呢?
机器学习在Web攻击方向有什么建树吗?
如何防范中间人攻击(man-in-the-middle attack)?
威胁网络安全的因素有哪些?
如何看待“Sunburst”(炽日行动)“迄今为止对美国造成的最严重的网络攻击”?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
《网络安全审查办法》规定掌握超百万用户个人信息运营者赴国外上市必须先申报网络安全审查,透露了哪些信息?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外
如何成为安全架构师?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?