我一直在研究登录后在哪里存储访问令牌。人们说本地存储是不安全的,因为可以使用javascript(XSS易受攻击)读取本地存储,并建议使用仅HTTP的cookie。
但是,假设我的网站容易受到XSS的攻击,并且运行了一些恶意代码来从我的API中获取数据。由于cookie会自动添加到请求中,因此它仍然可以正常工作吗?他们不知道Cookie是什么,但请求最后仍然有效。使用XSS,恶意代码将像从我的站点一样运行。
我可以纠正吗?
答案 0 :(得分:1)
您是正确的,攻击者将能够做出您的API允许的一切。
“将令牌保存在仅HTTP cookie中”的思想是防止客户端访问令牌以窃取令牌。