在localStorage中存储用户的会话ID是否安全?在w3.org site,他们说
用户代理必须在任何时候引发SECURITY_ERR异常 最初由localStorage返回的Storage对象的成员 属性由有效脚本来源的脚本访问 与Window对象的Document的原点相同 访问了localStorage属性。
这是否意味着localStorage可用于敏感数据?
答案 0 :(得分:24)
httpOnly Cookie提供localStorage未提供的XSS防御层:
httpOnly无法从[潜在恶意] JS中访问Cookie。localStorage 可从JS访问。会话ID应存储在httpOnly secure个Cookie中。
答案 1 :(得分:11)
这取决于你的意思是“它是否安全”?
localStorage与非路径限制cookie一样安全。从网页中,只能通过同一域中的页面访问它。数以万计的网站将会话ID存储在cookie中,这些cookie与localStorage具有大致相同的安全限制。
在网页之外,localStorage和cookies都不是安全的,因为其他程序甚至是在同一台计算机上运行的网络调试工具都可以访问。