Security HttpOnly vs LocalStorage存储JWT
关于这个问题,这里有很多类似的问题,但是找不到任何可以解决我对使用HttpOnly cookies的担忧的问题 有许多答案建议使用HttpOnly cookie,理由是站点上的XSS漏洞会允许攻击者从LocalStorage窃取JWT(或任何auth)令牌,而这可以通过将令牌存储为HttpOnly cookie来防止 我明白,这有点道理。有权访问用户身份验证令牌的攻击者可以在目标网站上模拟该用户 但是,如果网站存在XSS漏洞,则攻击者可以作为用户执行任何操作,而不必实际窃取cookie。它可以向站点发出请求、窃取用户数据或执行受限操作 攻击者是否可以对被盗的身份验证令牌进行任何处理,而该令牌在站点上不可能作为XSS? 鉴于上述情况,是否有理由宁愿使用cookie而不是本地存储来存储身份验证令牌? (本地存储与会话存储是一个单独的问题,我不一定对这种比较感兴趣。)Security HttpOnly vs LocalStorage存储JWT,security,authentication,cookies,jwt,single-page-application,Security,Authentication,Cookies,Jwt,Single Page Application,关于这个问题,这里有很多类似的问题,但是找不到任何可以解决我对使用HttpOnly cookies的担忧的问题 有许多答案建议使用HttpOnly cookie,理由是站点上的XSS漏洞会允许攻击者从LocalStorage窃取JWT(或任何auth)令牌,而这可以通过将令牌存储为HttpOnly cookie来防止 我明白,这有点道理。有权访问用户身份验证令牌的攻击者可以在目标网站上模拟该用户 但是,如果网站存在XSS漏洞,则攻击者可以作为用户执行任何操作,而不必实际窃取cookie。它可以向