现在还有用 cookies 吗

2020-07-22 12:14:49 +08:00

pabno

接手公司的老项目，很多安全和身份相关的功能都是用 cookies 实现的。这玩意儿感觉既不好测试又不安全，以往都是使用 token 来做的身份安全相关

不知道现在在 web 端主流是用 cookies 还是 token ？

11382 次点击

所在节点

程序员

104 条回复

wakzz

2020-07-23 22:27:24 +08:00

至少从目前的规范趋势看，未来肯定是去 cookie 化的。虽然 cookie 目前有绝大多数浏览器和 app 的支持，但是由于 cookie 机制早期的设计问题，有太多安全隐患。在可见的未来几年，chrome 会率先默认禁用 cookie，届时在没有新的成熟方案前，前后端的 session 追踪只能依赖 token 实现。

ochatokori

2020-07-23 23:23:54 +08:00

@love #52 为什么不安全，有什么场景是只能取到 localstorage 里面的 token 取不到 cookie 里面的 token

love

2020-07-24 08:30:55 +08:00

@ochatokori 这不是前端安全基本操作吗，token cookie 要加上 httponly 标记，就不会被 js 取到，防止意外引入的 js 偷 token

Lizhecao

2022-11-17 10:53:37 +08:00

看了一遍下来，感觉大佬们戾气好重，技术讨论而已，对事不对人。

第 6 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/692155

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.