Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
黑客为什么可以做到无需知道源码的情况下找出系统漏洞?电脑需不需要有杀毒软件呢?
互联网平台能否直接查阅、复制和披露用户的个人信息?
微信朋友圈能分享有颜色文字算是bug吗?
为什么机器学习解决网络安全问题总是失败?
初学者对渗透测试的总结?
假如有人把支付宝所有存储服务器炸了(物理炸),大众在支付宝里的钱是不是就都没有了呢?
请教一个https安全问题?
2020 年中国境内约 531 万台主机遭境外网络攻击,前三来自美国及其北约盟国,说明了什么?
网络日记放在哪儿最安全?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?大家如何看待all in web?
无线路由器被蹭网后,有被黑的风险吗?
hook是钓子的意思,它和钓鱼网站有关系吗?
各种浏览器的隐私/无痕模式能否真的能够解决隐私问题?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
养成哪些上网习惯可以避免泄露重要的个人隐私?
为什么现在很多人对网络空间安全专业持劝退态度?
为什么form表单提交没有跨域问题,但ajax提交有跨域问题?
计算机专业应该如何发展?
为什么部分外行人看起来不太复杂的网站,比如Facebook,需要大量顶尖高手来开发?
asp.net MVC 和Web Form 相比各有什么优缺点?
如何看待360杀毒在AV-C等评测机构的测试中因作弊被谴责后发布的公关文?
ASP.NET MVC 如果全部用异步 Controller,会有什么效果?会成为高吞吐量,高并发的网站么?
WIN7网络连接成功后,有个白框一闪而过,这方面的大神能帮忙看看,给个原因或可能有效的探索方向么?
如何评价小米在隐私安全上的贡献?
WIN7网络连接成功后,有个白框一闪而过,这方面的大神能帮忙看看,给个原因或可能有效的探索方向么?
FBI 称「俄入侵乌克兰或引发对美乌两国的网络攻击」,释放了哪些信号?
用工具的人能称得上的黑客吗?
SMTP的伪造发件人太过简单,一般收件服务商如何应对的?
如何看待硬怼民警“我就被骗”的女子,一周后真被骗20余万跑去报警?诈骗为什么这么容易成功?
怎样防范被人肉搜索?
求问如何建设网站?
如何评价王江民老师?
私人网站能看到用户的密码吗?
世界互联网的网络结构是怎么样的?
接触暗网会有怎样的后果?
315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么?
深度学习在信息安全的应用有哪些可以关注的人或论文?
如何看待 Rust 这门语言?