Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
为什么在微软三月份就发布公告和更新的情况下两个月后仍有很多人中了「永恒之蓝」?如何实现PWA的预安装?
如何看待爱德华·斯诺登揭秘美国政府监听计划 PRISM 的行为?他的命运又将如何?
如何看待 Mozilla 决定停止信任沃通 (WoSign) 和 StartCom 颁发的证书?
拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?
为什么现在大部分密保都是靠手机号确认身份,运营商的SIM卡系统很难被入侵吗?
前端无代码应用的可行性?
黑客能黑超算吗?
现在大多数中国Web前端开发工程师是否会考虑无障碍性(Accessibility)?
据各种情报综合分析,这两天知乎被谁攻击了?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
HTTPS可以防止中间人篡改内容吗?Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
请教一个https安全问题?
如何看待特朗普宣布解雇网络安全局局长,称其发布的关于大选声明极不准确?
2020 年中国境内约 531 万台主机遭境外网络攻击,前三来自美国及其北约盟国,说明了什么?
自动驾驶车如何降低被黑客控制的风险?
JSON 可以替代 XML,为什么网页不用 JSON 格式来写呢?
当年黑掉腾讯的「朽木事件」是指什么?
SMTP的伪造发件人太过简单,一般收件服务商如何应对的?
ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
怎样防范被人肉搜索?
网页设计中最常用的字体有哪些?(中文和英文)
如何看待百度于2017年2月28日晚疑似停止服务?
如何防范中间人攻击(man-in-the-middle attack)?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
COOKIE和SESSION有什么区别?
如何看待b站up主tom表哥硬刚诈骗团伙的行为?
什么情况下用私钥加密公钥解密,什么情况下用公钥加密私钥解密?
如何对付背后阴人的龌龊小人?
各位自学网络安全的朋友们,你们的路线是什么?
360 作了哪些恶?
如何对付背后阴人的龌龊小人?
美国国会举行听证会讨论 「Web3.0」,目前技术发展状况如何?未来可能在哪些领域带来新发展?
Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
国家互联网信息办公室等七部门进驻滴滴开展网络安全审查,有哪些信息值得关注?
斯诺登是卖国贼吗?
为什么支付宝、国内网银多要装控件,而国外的ebay、paypal、网银很少需要装,是技术原因还是需求?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
交通信号灯可以被黑 (hack) 吗?
COOKIE和SESSION有什么区别?