代码之家  ›  专栏  ›  技术社区  ›  Stackedo

对localStorage或Cookie的使用有点困惑

jwt cookies node.js
  •  0
  • Stackedo  · 技术社区  · 6 年前

    因此,我在多篇文章中读到,与cookie相比,localStorage或sessionStorage更受xss/csrf注入的“影响”。

    第一:这是真的吗?

    我知道我可以使用cookie检查xsrf验证。

    我有一个NodeJS服务器和一个react js前端。而且,为了不遗漏任何内容,我使用localStorage来存储JWT(我的访问令牌)。这真的很糟糕,因为我通过阅读理解了这一点。

    现在:我想我的网站将是真正安全的,在这里我感到困惑。

    我应该停止使用JWT,还是可以将JWT存储在安全的cookie中?然后添加一些关于x-srf和xss的额外cookie?

    或者我应该使用cookie会话而不是jwt?

    如果我不使用JWT,我如何在cookie会话中存储(以加密方式)信息?我必须在前端创建cookie,或者将cookie值从服务器发送到客户端,然后设置cookie?

    1 回复  |  直到 6 年前
        1
  •  1
  •   Evert    6 年前

    使用Cookies的好处是,您可以标记Cookies不可被javascript访问。

    如果

    但是,如果你使用cookies,它会 也许 也有可能被攻击者利用, 您有CSRF安全问题。或者,如果您有XSS问题,如果攻击者可以直接与API对话,则仍然可能使用会话。

    推荐文章
    user433342  ·  流式传输SheetJS-xlsx以在节点中形成数据
    4 月前
    servvs  ·  如何从javascript中的另一个类回调读取修改后的类属性?
    4 月前
    Vanortton  ·  使用Docker开始应用程序开发还是在开发过程中配置Docker?[关闭]
    4 月前
    ProfessorFinesse  ·  在默认表单中完成帖子请求时,“res.send”会去哪里?
    4 月前
    LifeAsPixels  ·  试图使用Node.js读取我的本地html文件时,此错误的来源是什么?
    5 月前
    Josue Abotsidia  ·  创建NextJS项目时出错
    5 月前
    Soon Winner  ·  TypeError:superheroes.random在使用“超级英雄”npm包时不是函数[关闭]
    5 月前
    Null Salad  ·  如何使用postgresql和nodejs将变量安全地插入数组?
    5 月前
    Zak  ·  令牌认证路由的页面刷新重定向到React中的404页面
    5 月前
    DSATH  ·  我的lambda在代码完成之前就结束了,我不知道为什么
    5 月前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号