localStorage 的内容外部引入的 JS 也能读取到,这样真的好吗?

2018-10-30 10:08:03 +08:00
 nyse

通过 <script> 标签引入其他域名的 JS,可以直接读取 localStorage 的内容,这样不是比 cookie 更不安全吗。

Cookie 好歹分域名存贮的,而且可以通过 HttpOnly 不让 JS 读取到。

像现在很多前后端分离的项目,把 token 存 localStorage,万一引入的第三方 JS 来源有问题,安全风险岂不是很大?

4460 次点击
所在节点    前端开发
22 条回复
nyse
2018-10-31 09:48:45 +08:00
@ragnaroks #20 这不就相当于 token 存内存了,不要保存嘛.
ragnaroks
2018-10-31 13:42:34 +08:00
@nyse 用 canvas 算指纹做 token

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/502433

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX