Html 可以将会话id存储在localStorage中吗?
在中存储用户的会话id是否安全?他们说,是的 每当出现以下情况时,用户代理必须引发安全错误异常: 最初由localStorage返回的存储对象的成员 属性由其有效脚本来源不为的脚本访问 与其上的窗口对象的文档的原点相同 已访问localStorage属性Html 可以将会话id存储在localStorage中吗?,html,security,local-storage,Html,Security,Local Storage,在中存储用户的会话id是否安全?他们说,是的 每当出现以下情况时,用户代理必须引发安全错误异常: 最初由localStorage返回的存储对象的成员 属性由其有效脚本来源不为的脚本访问 与其上的窗口对象的文档的原点相同 已访问localStorage属性 那么这是否意味着本地存储可以用于敏感数据呢?这取决于您所说的“安全吗” localStorage的安全性与无路径限制的cookie差不多。从网页中,它只能由来自同一域的页面访问。数以百万计的站点将会话ID存储在cookie中,cookie的安全
那么这是否意味着本地存储可以用于敏感数据呢?这取决于您所说的“安全吗” localStorage的安全性与无路径限制的cookie差不多。从网页中,它只能由来自同一域的页面访问。数以百万计的站点将会话ID存储在cookie中,cookie的安全限制与localStorage大致相同
在网页之外,localStorage和Cookie都不受在同一台计算机上运行的其他程序甚至web调试工具的访问。
httpOnly
Cookie提供了一层XSS防御,而localStorage
不提供:
cookies无法从[潜在恶意]JS访问httpOnly
可从JS访问localStorage
会话ID应该存储在
httpOnly
secure
cookies中。我认为这取决于您所说的敏感。它将以纯文本形式存储,并可通过浏览器调试功能访问。这与Cookie没有什么不同。您确定要将其存储在本地存储
而不是会话存储
?但是,Cookie易受CSRF攻击,因此应使用CSRF预防方法进行保护(例如,向客户端发送一个附加的非httpOnly
CSRF cookie,并将其在HTTP头中的值返回到后端,在后端首先对其进行验证)