dev*_*per 12 security html5 local-storage
在localStorage中存储用户的会话ID是否安全?他们说,在w3.org网站上
每当localStorage属性最初返回的Storage对象的任何成员被脚本访问时,用户代理必须引发SECURITY_ERR异常,这些脚本的有效脚本来源与localStorage属性所在的Window对象的Document的原点不同.访问.
那么这是否意味着localStorage可用于敏感数据?
Tom*_*Tom 25
httpOnlycookies提供了一层XSS防御,localStorage不提供:
httpOnly 从[潜在恶意] JS无法访问cookie.localStorage 是从JS访问.会话ID应存储在httpOnly securecookie中.
jfr*_*d00 11
这取决于你的意思是"它是否安全"?
localStorage与非路径限制cookie一样安全.从网页中,只能通过同一域中的页面访问它.数以万计的网站将会话ID存储在cookie中,这些cookie与localStorage具有大致相同的安全限制.
在网页之外,localStorage和cookie都不是安全的,因为其他程序甚至是在同一台计算机上运行的Web调试工具都可以访问.