在使用NodeJS和(例如)AngularJS的SPA上存储
JSON Web令牌以进行身份验证的最佳位置是什么?
到目前为止我得到了什么:
可能的地方:
> HTML5 Web存储(localStorage / sessionStorage)
>饼干
Web存储(localStorage / sessionStorage)可通过同一域上的JavaScript访问.这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击.
localStorage具有不同的到期时间,sessionStorage只能在创建它的窗口打开时才能访问.
localStorage会一直持续到您删除它或用户删除它为止.
当与HttpOnly cookie标志一起使用时,Cookie无法通过JavaScript访问,并且不受XSS的影响.但是,cookie很容易受到跨站点请求伪造(CSRF)的攻击.
那么最安全的JWT存储方式是什么呢?