And*_* RF 2 javascript security cookies token local-storage
背景:我有两个应用程序前端和后端。后端是django与django rest framework. 对于身份验证,我使用令牌。客户端通过 登录时获取令牌post。客户端将此令牌设置为header并将令牌保留在 中localStorage。我将令牌保存到以localStorage防止重新打开站点后出现第二次请求。但我写过很多localsStorage容易受到xss攻击的文章。现在我关心的是cookies。但我不想重写我的后端逻辑。我正在考虑通过js将令牌写入cookie。
我的问题:我应该将令牌写入吗cookies?或者我应该重写我的后端应用程序并使用会话?或者mb不重写它?
Cookie 和本地存储同样容易在客户端被篡改:客户端可以查看和修改两者,它们拥有的任何(可能是恶意的)扩展也可以。但是,如果通过 HTTPS 连接到您的网站,并且他们的浏览器/操作系统/硬件没有恶意窥探事物,那么 cookie 或本地存储就不会有问题。
它们之间的主要区别在于,cookie 会随着每个网络请求发送到服务器,而本地存储保留在用户的硬盘驱动器上,不会发送到服务器。
可以说,Cookie比本地存储更容易受到攻击,因为如果通过未加密的连接发送 Cookie,则它可能会被拦截 - 但本地存储保留在客户端的计算机上,因此被恶意软件拦截的可能性较小。但如果连接是加密的(理应如此),那么使用 cookie 就可以了。
如果您的脚本需要将令牌与请求一起发送到服务器,您可能应该使用 cookie,以便可以在后端检查它们。(如果您使用本地存储,则必须在每个请求中手动发送令牌,这仍然是可能的,但有点不雅,因为 cookie 可以做同样的事情而不需要您手动干预。)
如果您的脚本不需要在每个请求中都发送令牌,那么如果您愿意,可以随意使用本地存储。如果服务器在生成令牌后永远不需要查看令牌,那么就不要使用 cookie,因为这会无缘无故地产生不必要的开销。
上面相同的一般逻辑适用于客户端的任何数据。如果服务器经常或有时需要查看它,并且数据不太大,cookie 是一个不错的选择。如果服务器永远不需要看到它,cookie 就是错误的选择。