这里有很多类似的问题,但是找不到任何可以解决我对使用HttpOnly cookie的担忧的问题。
有很多建议建议使用HttpOnly cookie,原因是该站点上的XSS漏洞将使攻击者能够从LocalStorage窃取JWT(或任何auth)令牌,并且可以通过将令牌存储为HttpOnly来防止这种情况。 Cookie。
我知道,这很有道理。有权访问用户身份验证令牌的攻击者可以在目标网站上模拟该用户。
但是,如果网站存在XSS漏洞,则攻击者可以以用户身份执行任何操作,而无需实际窃取Cookie。它可以向站点发出请求,窃取用户数据或执行受限操作。
攻击者是否可以使用在网站上无法用作XSS的被盗身份验证令牌进行任何操作?
鉴于上述情况,有理由更喜欢使用Cookie而不是LocalStorage来存储身份验证令牌吗?
(LocalStorage与SessionStorage是一个单独的问题,我不一定对此比较感兴趣。)