Web 前端储存 token 应该用 LocalStorage / (httponly)cookie? 第1页
1
Ivony 网友的相关建议:
LocalStorage显而易见的好处是不会每次都发回服务器,可以减少HTTP请求和响应的大小,当然坏处就是这货需要显示的写代码回传服务器。
所以这个很好选啊,如果大部分资源/请求都需要服务器授权,那就应该用Cookie,浏览器会自动将Cookie发给服务器。如果绝大部分资源都不需要授权,只有少数几个功能(AJAX实现)是需要授权的,那么LocalStorage也不错。
而你所挑出来的什么便利性安全性感觉完全不是应该考虑的问题啊。
譬如说什么泛域储存,现在什么SSO方案还需要依赖这个特性吗?
XSS和CSRF攻击要从根本上杜绝,讨论这个意义不大。考虑这种问题就像我们是不是要把mysql的字段和表给弄成随机字符串,这样注入的时候别人就很难从猜出来数据结构了。正确的方案是从根本上防止注入,而不是搞这些小动作。
1
相关话题
2020 年中国境内约 531 万台主机遭境外网络攻击,前三来自美国及其北约盟国,说明了什么?请教一个https安全问题?
国家互联网应急中心称部分 APT 组织网络攻击工具长期潜伏我国,意味着什么?
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?
2015年6月30日 闰秒 为什么世界多一秒钟会有这么大影响?
美国国会举行听证会讨论 「Web3.0」,目前技术发展状况如何?未来可能在哪些领域带来新发展?
为什么网络上有关青少年的灰色内容层出不穷?背后是否存在产业链等利益因素?
如何看待中美两国网络防御技术对比?
360发布首款支持国密算法的浏览器对网络安全有哪些影响?
如何反驳“代码混淆只是降低了可读性,安全性并没有得到实质提升”的观点?
前一个讨论
网络改编西游记到底是好还是坏?
相关的话题
Web 前端储存 token 应该用 LocalStorage / (httponly)cookie?Windows安全策略里面有一个「登录之前需要按下CTRL+ALT+DEL」,这个策略有什么意义?
百度云“您下载的内容包含违规信息”,有什么方法可以下载?
互联网平台能否直接查阅、复制和披露用户的个人信息?
随机确定密文的加密方式,密码有办法被破解吗?
电子科技大学周涛研究团队是否侵犯学生隐私?
想学网络安全,有没有良心机构推荐?
「杀毒软件之父」75 岁约翰·迈克菲死于西班牙监狱中,他做出了哪些贡献,如何评价他的一生?
如何看待 CIA 利用瑞士的 Crypto AG 公司窃取 120 多个国家的情报?
如何看待国内一些互联网企业因为有墙而强大?
如何看待百度于2017年2月28日晚疑似停止服务?
私人网站能看到用户的密码吗?
如何看待 2017 年 5 月 12 日爆发在各高校的电脑勒索比特币的病毒?
网页设计中最常用的字体有哪些?(中文和英文)
斯诺登是卖国贼吗?
深度学习在信息安全的应用有哪些可以关注的人或论文?
前后端分离项目,接口返回 200 但是里面返回 500 合理吗?
元宇宙可能面临哪些网络安全问题?
ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
WinPE 能破解 Windows 的密码,这样 Windows 就不安全吗?
网络安全真的那么好吗?
如何评价王江民老师?
元宇宙可能面临哪些网络安全问题?
RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?
asp.net mvc FormsAuthenticationTicket 如何防御cookie胁持?
如何看待 CIA 利用瑞士的 Crypto AG 公司窃取 120 多个国家的情报?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
为什么那么多人推荐火绒?
为什么以色列的网络安全,存储方面这么有竞争力?
人工智能已在哪些领域超越了人类的表现?