Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
我能否自己设计一个编码方式,替代 MD5 用于哈希呢?Linux 有所谓「天生安全基因」吗,整体安全性设计是否更优秀?
如何看待「护苗 2015」行动?
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码?
如何评价「最大的安全公司之一 Norse Corp 濒临倒闭」?
如何看待ACCN经常性的攻击网络公司进行敲诈勒索并且没有得到治理的现象?
深度学习在信息安全的应用有哪些可以关注的人或论文?
网银的密码控件到底做了哪些安全保护工作?
10 月 25 日韩国突发大面积断网,全国企业、普通家庭等均受影响,为何出现断网问题?将造成多大损失?
国家是如何开展净网行动?如何知道用户网盘有没有非法视频,是否侵犯了用户隐私?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
近期中国互联网持续遭受境外网络攻击,境外组织控制中国境内计算机,对俄乌等国进行网络攻击,会有哪些影响?网银安全吗?工资卡开网银好吗?
关于互联网安全,你有什么看法?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
计算机专业应该如何发展?
为什么form表单提交没有跨域问题,但ajax提交有跨域问题?
网络安全就业跟对于学历要求高不高?
如何防范中间人攻击(man-in-the-middle attack)?
无线路由器被蹭网后,有被黑的风险吗?
软件测试和网络安全哪个好就业?
360 作了哪些恶?
百度是如何获取用户搜索内容并确定用户电话号码并提供给第三方的?
如何看待印度APT黑客组织攻击我国医疗机构?
个人开发web应用,从需求设计,界面设计,数据库设计,API设计等,好的开发流程是怎么样的?
网络安全现在的前景是如何的?
外界对于黑客都存在哪些误解?
交通信号灯可以被黑 (hack) 吗?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
在有关部门的要求下,知乎官方会依法取匿吗?
东北重新焕发生机的时候会是我国富强之时吗?
网络软色情防不胜防,怎么做才能更好地保护青少年?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
军事战争中网络攻防主要有哪些打击手段?与地面战争会存在哪些结合?
做网络安全服务工作考什么证最性价比?
如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?
为什么国内部分用户喜欢安装类似「360 安全卫士」的软件呢?
将NAS的SMB端口映射到公网上是否有安全问题?
如何防范中间人攻击(man-in-the-middle attack)?
机器学习在Web攻击方向有什么建树吗?
美国国会举行听证会讨论 「Web3.0」,目前技术发展状况如何?未来可能在哪些领域带来新发展?