我有一个Angular4 SPA +解析服务器。目前,我正在直接在网页上使用Parse.User.logIn(...)和Parse.User.logOut(...)进行身份验证。我担心的是将从logIn()方法收到的会话令牌存储在Angular应用中。客户端上存储的任何内容(甚至是本地存储或会话存储)都容易受到XSS攻击。
我看到的唯一解决方法是在云代码中实现自定义登录和注销方法。成功登录后,云代码可以将会话令牌存储在cookie(安全,httpOnly)中,并在随后的每个请求中解析cookie中的令牌并将其在请求中设置为标头“ X-Parse-Session-Token”,然后Parse Server逻辑将接管。
我想这会起作用,但是我想知道你们如何解决这个问题。您将令牌存储在网页上的什么位置?