我正在使用与我的REST API交互的角度开发单页预订应用程序。
我在我的应用程序中定义了各种路由,并且当用户填写其信息时,我使用本地存储来存储每个页面的状态。一旦用户填写了所有内容,我就会将其发布到我的API,生成哈希并将其重定向到支付网关,然后再返回结果页面。本地存储的原因是我们可以坚持用户填写详细信息,即使他们关闭页面并重新打开它。
我不应该在本地存储中存储敏感信息,例如用户名和地址,因为这会让我容易受到跨站点脚本的攻击。</ p>
在服务器上存储此信息会破坏REST API的无状态原则。
对于如何最好地构建我的应用程序有任何建议吗?
答案 0 :(得分:1)
编辑:以下内容不正确。 Cookie和本地存储均受域限制。本地存储的主要缺点是本地用户和程序可以不加选择地访问和修改它,并且将本地存储的内容视为可信输入打开了令人讨厌的DOM XSS和存储的XSS攻击的大门。
一个选项是to use cookies来存储用户的信息。您可以为每个字段添加cookie,在用户填写字段时设置cookie,并在用户加载页面时读取cookie以填充字段。