标签: security authentication jwt xss session-cookies
我想我了解令牌和会话ID之间的区别。
但是在我看来,它有一个主要的安全问题,因此我可能误解了一些东西:
如果某人偷了我的令牌或我的会话ID,那么他可以假装是我,对吗?某些XSS攻击或我朋友计算机上的某些F12足以查看信息,对吧?
答案 0 :(得分:1)
是的。这就是为什么您不会无人照管设备来维护F12部件的原因。
XSS无法窃取httpOnly cookie。
httpOnly
我在以下两个答案中涵盖了这些问题。
https://stackoverflow.com/a/54258744/1235935
https://stackoverflow.com/a/59464645/1235935