Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
如何评价支付宝 9.0 关闭手势解锁功能?拥有50亿条用户隐私信息的黑产团队被抓,京东某网络安全部员工是嫌犯之一,这些信息泄露可能造成哪些影响?
接触暗网会有怎样的后果?
不太理解预防csrf攻击中的“双提交cookie”是什么意思?
安全领域第三方资源的漏洞和基础软件漏洞是否比使用框架的产品业务代码的漏洞更多,且更容易挖掘和利用?
如何看待有人「支付宝账户只有200余额仍被盗刷万元」的经历?
为什么机器学习解决网络安全问题总是失败?
威胁网络安全的因素有哪些?
HTTPS体系中若攻击者将自己公钥上传CA得到签名,并将两者一起用于篡改证书的中间人攻击会怎样?
过度依赖框架有什么不好?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
我能否自己设计一个编码方式,替代 MD5 用于哈希呢?.NET 和 Java 在 Web 开发上各有什么优缺点?
网络安全培训哪家机构知名度高?
学java是不是只能做网页开发?
我想学习网络安全这方面,如何开始学习?
百度云“您下载的内容包含违规信息”,有什么方法可以下载?
如何优化如图所示的,将父类实例扩展为子类实例的代码?
该如何系统的学习网络安全方面的知识?
网络安全是不是包含了很多板块?
暴露自己IP地址有危险吗?
有哪些网络安全上的事实,没有一定安全知识的人不会相信?
养成哪些上网习惯可以避免泄露重要的个人隐私?
如何快速地想出一个很难猜但是很好记的包含数字字母和符号的密码?邮箱账号除外
如何看待“Sunburst”(炽日行动)“迄今为止对美国造成的最严重的网络攻击”?
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?
乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗?
公司是否能够亦或是否有权截获员工在公司电脑使用https访问网站的内容?如何实现?
为什么那么多人推荐火绒?
无线路由器被蹭网后,有被黑的风险吗?
安全领域第三方资源的漏洞和基础软件漏洞是否比使用框架的产品业务代码的漏洞更多,且更容易挖掘和利用?
病毒代码需要debug吗,测试的时候难道不会损坏本地设备吗?
请教一个https安全问题?
这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗?
请问一下,跨平台解决方案中,Qt 和 Electron 孰优孰劣?
个人开发web应用,从需求设计,界面设计,数据库设计,API设计等,好的开发流程是怎么样的?
如何看待云舒离开阿里巴巴?
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?
全球最大肉食品加工商遭网络攻击关停,白宫称:黑客可能来自俄罗斯,事实可能是怎么样的?
如何防范中间人攻击(man-in-the-middle attack)?