我正在阅读有关JWT的内容,而我似乎对一些似乎无法解决的问题感到困惑:
什么阻止恶意网站包括
localStorage.get ('secretjwt')
在他们的代码中窃取你的令牌?
如果您不将其存储为cookie,那么任何人都可以访问它!如果它存储为cookie,那么为什么不直接使用cookie?
答案 0 :(得分:3)
Cookie和localStorage受same-origin政策
保护在计算中,同源策略是Web应用程序安全模型中的一个重要概念。根据该政策,网络浏览器允许第一个网页中包含的脚本访问第二个网页中的数据,但前提是两个网页的来源相同。
例如http://www.malicious.com或http://www.example.com无法访问https://www.example.com
中的存储空间此外,该网站应使用SSL / TLS加密内容并防止令牌被盗