Mã thông báo API có an toàn bên trong cửa hàng Flux (Redux) không?

Question

Có an toàn khi lưu trữ mã thông báo API được trả về bởi cuộc gọi xác thực trong cửa hàng Thông lượng (cụ thể, Redux) không? Tôi đã sử dụng Webpack để biên dịch tất cả các tài sản trong dự án, điều mà tôi tin rằng có nghĩa là cửa hàng nằm ngoài tầm với của các tập lệnh của bên thứ ba đang tìm cách đọc cửa hàng và trích xuất mã thông báo.

Và, đối với những gì đáng giá, mã thông báo được gửi qua HTTPS trong tiêu đề Authorization: bearer ....

Answer 1

Nếu các tập lệnh bên thứ ba không đáng tin cậy đang chạy trên trang, thì bạn nên cho rằng không có gì an toàn vì toàn bộ toàn bộ trang bị xâm phạm.

Nếu chỉ các tập lệnh đáng tin cậy đang chạy, bạn có thể giả sử mã thông báo của mình an toàn, tùy thuộc vào bảo mật của trình duyệt và mức độ bảo mật của trang web của bạn chống lại các cuộc tấn công XSS.

EDIT:

Để làm rõ, đây là sự an toàn từ tập lệnh của bên thứ ba. Nếu bạn đang cố giấu mã thông báo của mình khỏi chính người dùng thì câu trả lời là nó sẽ luôn không an toàn, cho dù bạn có làm xáo trộn mã của bạn bao nhiêu đi chăng nữa, nếu máy của người dùng có quyền truy cập vào nó, thì cuối cùng người dùng có thể truy cập vào nó (bạn có thể làm cho nó khó khăn hơn, nhưng không phải là không thể).