这里有很多类似的问题,所以询问这个问题,但找不到一个可以解决我对使用 HttpOnly cookie 的担忧。
有许多答案建议使用 HttpOnly cookie,理由是网站上的 XSS 漏洞将允许攻击者从 LocalStorage 窃取 JWT(或任何身份验证)令牌,并且可以通过将令牌存储为 HttpOnly cookie 来防止这种情况。
我明白了,这句话有点道理。有权访问用户身份验证令牌的攻击者可以在目标网站上冒充该用户。
但是,如果网站存在 XSS 漏洞,那么攻击者就可以作为用户执行任何操作,而无需实际窃取 cookie。它可以向网站发出请求、窃取用户数据或执行受限操作。
攻击者可以用被盗的身份验证令牌做一些在网站上无法作为 XSS 做的事情吗?
鉴于上述情况,是否有理由更喜欢使用 cookie 而不是 LocalStorage 来存储身份验证令牌?
(LocalStorage 与 SessionStorage 是一个单独的问题,我不一定对这种比较感兴趣。)