Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/html/82.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Html 可以将会话id存储在localStorage中吗?_Html_Security_Local Storage - Fatal编程技术网
Fatal编程技术网
  • html/
  • Html 可以将会话id存储在localStorage中吗?

Html 可以将会话id存储在localStorage中吗?

html security

Html 可以将会话id存储在localStorage中吗?,html,security,local-storage,Html,Security,Local Storage,在中存储用户的会话id是否安全?他们说,是的 每当出现以下情况时,用户代理必须引发安全错误异常: 最初由localStorage返回的存储对象的成员 属性由其有效脚本来源不为的脚本访问 与其上的窗口对象的文档的原点相同 已访问localStorage属性 那么这是否意味着本地存储可以用于敏感数据呢?这取决于您所说的“安全吗” localStorage的安全性与无路径限制的cookie差不多。从网页中,它只能由来自同一域的页面访问。数以百万计的站点将会话ID存储在cookie中,cookie的安全

在中存储用户的会话id是否安全?他们说,是的

每当出现以下情况时,用户代理必须引发安全错误异常: 最初由localStorage返回的存储对象的成员 属性由其有效脚本来源不为的脚本访问 与其上的窗口对象的文档的原点相同 已访问localStorage属性

那么这是否意味着本地存储可以用于敏感数据呢?

这取决于您所说的“安全吗”

localStorage的安全性与无路径限制的cookie差不多。从网页中,它只能由来自同一域的页面访问。数以百万计的站点将会话ID存储在cookie中,cookie的安全限制与localStorage大致相同

在网页之外,localStorage和Cookie都不受在同一台计算机上运行的其他程序甚至web调试工具的访问。

httpOnly
Cookie提供了一层XSS防御,而
localStorage
不提供:

  • httpOnly
    cookies无法从[潜在恶意]JS访问
  • localStorage
    可从JS访问
会话ID应该存储在
httpOnly
secure
cookies中。

我认为这取决于您所说的敏感。它将以纯文本形式存储,并可通过浏览器调试功能访问。这与Cookie没有什么不同。您确定要将其存储在
本地存储
而不是
会话存储
?但是,Cookie易受CSRF攻击,因此应使用CSRF预防方法进行保护(例如,向客户端发送一个附加的非
httpOnly
CSRF cookie,并将其在HTTP头中的值返回到后端,在后端首先对其进行验证)