將用戶的會話ID存儲在localStorage中是否安全?在w3.org site,他們說將會話ID存儲在localStorage中可以嗎?
用戶代理必須提高,只要任何最初由localStorage的 屬性返回存儲對象的 成員是由腳本,其有效腳本起源訪問的SECURITY_ERR異常是不 一樣localStorage屬性被訪問的窗口對象的文檔的來源。
那麼這是否意味着localStorage可以用於敏感數據?
將用戶的會話ID存儲在localStorage中是否安全?在w3.org site,他們說將會話ID存儲在localStorage中可以嗎?
用戶代理必須提高,只要任何最初由localStorage的 屬性返回存儲對象的 成員是由腳本,其有效腳本起源訪問的SECURITY_ERR異常是不 一樣localStorage屬性被訪問的窗口對象的文檔的來源。
那麼這是否意味着localStorage可以用於敏感數據?
這取決於你的意思是「它是安全的」?
localStorage與非路徑限制cookie一樣安全。在網頁中,只能通過來自同一個域的頁面訪問。無數的網站將會話標識存儲在與localStorage具有相同安全限制的Cookie中。
在網頁之外,localStorage和cookies都不能安全地訪問其他程序甚至是運行在同一臺計算機上的網絡調試工具。
httpOnly
餅乾提供XSS防禦層localStorage
不提供:
httpOnly
cookie是不是從[潛在的惡意] JS訪問。localStorage
是可從JS訪問。會話ID應存儲在httpOnly
secure
Cookie中。
我認爲這取決於你的意思是敏感的。它將以純文本形式存儲,並可通過瀏覽器調試功能進行訪問。 –
這與餅乾沒有區別 –
您確定要將它存儲在'localStorage'而不是'sessionStorage'中嗎? –