我需要在浏览器中存储访问/刷新令牌。 我读到在本地存储或sessionStorage中存储AT和RT是不安全的。 如果我将AT和RT存储在localStorage中,我将实施安全措施以防止XSS攻击。将其存储在那里会安全吗? 谢谢
答案 0 :(得分:0)
您可以将令牌存储在本地存储中,只要在将页面交还给客户端之前清理客户端数据即可。
示例:客户要求页面/user/?name=<script>[malicious script which wants to steal stored tokens]</script>。在将页面返回给客户端之前,服务器应转义<和>字符(例如,将<替换为<,将>替换为{{1 }}。因此,一旦客户端收到页面,该脚本将不会执行。
查看本文以获取详细说明:https://www.checkmarx.com/2017/10/09/3-ways-prevent-xss/