安全性 - 本地存储与 Cookie

【问题标题】:Security - Local storage vs Cookies安全性 - 本地存储与 Cookie
【发布时间】:2020-01-10 23:46:45
【问题描述】:

您好,我有一个使用 JWT 进行身份验证的反应应用程序。 我们将此 JWT 存储在本地存储中,但我们团队的安全性告诉我们它不安全,因为可以通过 Javascript 访问此令牌。

他们要求使用将其存储在 cookie 中。因为它不安全。但对我来说 cookie 也可以在 js 中访问,所以我看不到这里的重点。

您知道为什么 cookie 存储应该比本地和会话存储更安全吗?真的是这样吗?

使用 JWT 最安全的方法是什么?

我不是在问我应该如何使用 JWT,而是问什么是保护它的最佳方式。

【问题讨论】:

标签: reactjs jwt local-storage jwt-auth


【解决方案1】:

localStorage数据不同,您可以将cookie设置为HttpOnly,使其无法通过javascript代码访问。

参考MDN - Secure and HttpOnly cookies:

为了帮助缓解跨站点脚本 (XSS) 攻击,HttpOnly cookie JavaScript 的 Document.cookie API 无法访问;他们只是 发送到服务器。例如,保存在服务器端的 cookie 会话不需要对 JavaScript 可用,并且 HttpOnly 应该设置标志。

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

【讨论】:

    猜你喜欢
    • 2015-11-23
    • 1970-01-01
    • 1970-01-01
    • 2023-03-29
    • 2011-03-14
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode