Javascript 在何处存储访问令牌，使其不易受到XSS攻击_Javascript_Java_Security_Spring Security_Xss

Javascript 在何处存储访问令牌，使其不易受到XSS攻击

javascript java security spring-security

Javascript 在何处存储访问令牌，使其不易受到XSS攻击,javascript,java,security,spring-security,xss,Javascript,Java,Security,Spring Security,Xss,我正在开发一个web应用程序，我正在处理用户身份验证的过程。通过最初对API进行HTTPPOST调用，我可以获得访问令牌我们的想法是知道在哪里存储它，这样它就不会受到XSS的攻击我听说过HttpOnlyCookie，它使得客户端可以读取Cookie（javascript），但问题是，当我无法访问Cookie时，为什么我需要在我的终端上存储一些东西。我如何将存储在coockie with http中的后端（API）访问令牌发送回，因为我无法获取它，所以无法将其附加到我的http请求的头中另外

我正在开发一个web应用程序，我正在处理用户身份验证的过程。通过最初对API进行HTTPPOST调用，我可以获得访问令牌
我们的想法是知道在哪里存储它，这样它就不会受到XSS的攻击
我听说过HttpOnlyCookie，它使得客户端可以读取Cookie（javascript），但问题是，当我无法访问Cookie时，为什么我需要在我的终端上存储一些东西。我如何将存储在coockie with http中的后端（API）访问令牌发送回，因为我无法获取它，所以无法将其附加到我的http请求的头中

另外，我可以使用javascript添加一个带有标志HttpOnly的coockie吗

HttpOnly
意味着您无法从客户端上的Javascript读取该cookie，但浏览器仍然知道该cookie，并且它将被添加到您向服务器发出的任何后续请求中
例如，它可以用于身份验证会话cookie。会话cookie通常是不透明的令牌，对用户来说毫无意义，并且只对服务器有意义。因此，没有真正的理由让客户端代码需要读取它们
另外，我可以使用javascript添加带有标志HttpOnly的cookie吗

否
HttpOnly用于服务器设置，以便客户端无法更改值…@epascarello我如何使用HttpOnly将访问令牌发送回服务器？我的意思是服务器可以设置一个coockie来存储用户访问令牌，若可以，那个么当我并没有访问权限时，我如何从客户端将访问令牌发送回服务器呢！我有点糊涂了！如果您想将其发回，请执行post请求，或直接从后端请求启动。@epascarello我想我没有领会您的意思，post请求我理解，但在post请求上附加什么？最后一部分只是要求从后端开始，我想我也没有得到这个，你能用更多的话或例子解释吗？