1. Trang chủ
  2. Câu hỏi và trả lời
  3. Bạn có thể lưu trữ id phiên trong localStorage không?

Bạn có thể lưu trữ id phiên trong localStorage không?

2011-09-29 36 views
11

Có an toàn để lưu trữ id phiên của người dùng trong localStorage không? Trên w3.org site, họ nóiBạn có thể lưu trữ id phiên trong localStorage không?

đại lý dùng phải nâng cao một ngoại lệ SECURITY_ERR bất cứ khi nào bất kỳ thành viên của một đối tượng lưu trữ ban đầu được trả về bởi các thuộc tính như localStorage được truy cập bởi các kịch bản có nguồn gốc kịch bản có hiệu lực không phải là giống như nguồn gốc của tài liệu của đối tượng Window trên đó thuộc tính localStorage được truy cập.

Điều này có nghĩa là localStorage có thể được sử dụng cho dữ liệu nhạy cảm?

Nguồn

2011-09-29 dev.e.loper

+0

Tôi nghĩ điều đó phụ thuộc vào ý bạn là nhạy cảm. Nó sẽ được lưu trữ trong văn bản thuần và có thể truy cập được thông qua các tính năng gỡ lỗi của trình duyệt. –

+0

Không khác gì với cookie –

+3

Bạn có chắc chắn muốn lưu trữ nó trong 'localStorage' chứ không phải' sessionStorage' không? –

Trả lời

13

Điều đó tùy thuộc vào ý bạn của "an toàn" không?

localStorage an toàn như cookie không bị hạn chế. Từ các trang web, nó chỉ có thể được truy cập bởi các trang từ cùng một tên miền. Hàng nghìn trang web lưu trữ id phiên trong cookie có cùng giới hạn bảo mật như localStorage.

Ngoài các trang web, cả localStorage lẫn cookie đều không an toàn khi truy cập bởi các chương trình khác hoặc thậm chí các công cụ gỡ lỗi trên web chạy trên cùng một máy tính.

Nguồn

2011-09-30 00:02:15 jfriend00

15

httpOnly cookie cung cấp một lớp bảo vệ XSS mà localStorage không cung cấp:

  • httpOnly cookie không thể truy cập từ [có khả năng độc hại] JS.
  • localStorage có thể truy cập từ JS.

ID phiên phải được lưu trữ trong httpOnlysecure cookie.

Nguồn

2014-09-01 13:50:03 Tom

Các vấn đề liên quan

 Các vấn đề liên quan