Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?网站项目,用html静态页面+REST Service可以代替传统的MVC模式吗?
摄像头的入侵是否可以绕过指示灯(如果有)?
网络安全是不是包含了很多板块?
Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?
威胁网络安全的因素有哪些?
大龄、零基础,想转行做网络安全。怎样比较可行?
RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?
SMTP的伪造发件人太过简单,一般收件服务商如何应对的?
Python的哪个Web框架学习周期短,学习成本低?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?现在网站越来越难渗透了,渗透测试这个方向还有前途吗?
互联网平台能否直接查阅、复制和披露用户的个人信息?
东北重新焕发生机的时候会是我国富强之时吗?
浏览器根据charset判断编码方式的疑问?
密码已经输入错误,还需要输入验证码再提示你密码错误,这样是否反人类?
WEB开发中,使用JSON-RPC好,还是RESTful API好?
欧洲国家是否有墙?
如何看待印度APT黑客组织攻击我国医疗机构?
做网络安全服务工作考什么证最性价比?
360和火绒你们选哪一个?
学java是不是只能做网页开发?
如何评价百度杀毒软件正式退役,官网称「感谢一路有你」?
为什么即使世界最知名的软件程序,也无法阻止被人破解的命运?
机器学习在Web攻击方向有什么建树吗?
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?
为何自从熊猫烧香以后中国再也没有爆发过类似于此的大规模网络病毒事件?
想学网络安全,有没有良心机构推荐?
各位走过路过大佬帮忙看一下是这本书是不是太无聊了?能不能提一点意见ಥ_ಥ?
黑客为什么不攻击支付宝?
如果美国断开对中国的根服务器,逼迫我们闭关锁国会怎么样?
如何看待云舒离开阿里巴巴?
你所在的行业或者兴趣都有那些有趣的段子?
公司规定所有接口都用 post 请求,这是为什么?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
养成哪些上网习惯可以避免泄露重要的个人隐私?
若实行网络白名单会是怎样一种机制?
如何看待中美两国网络防御技术对比?
为什么有面试官喜欢让面试者用纸笔写代码?
计算机专业应该如何发展?