如何解决使用 cookie 存储客户端的次要细节是否比本地存储更好?
我将 cookie 用于最重要的细节,例如令牌。它们是安全的并且是 httpOnly。我还有一些细节要保存在客户端。就像,一旦用户登录,我就会存储 userType(客户 | 内部用户)和一些设置为 true/false 的标志。我将这些额外的细节存储在本地存储中,因为客户端将它们用于一些基本任务。将它们移动到 Cookies 并保持其 httpOnly : false(因为浏览器 JS 只能访问没有 httpOnly 的 cookie)是个好主意吗?
解决方法
您是否使用 Redux 或 Apollo 等中央 FE 数据存储?我个人会在这样的 FE 数据存储中设置 userType。
对于您将设置为 httpOnly: false 的 cookie。 cookie 和本地存储的安全性大致相当。如果您的网站上运行了恶意脚本,该脚本将能够访问本地存储和非安全 cookie。
Cookie 由客户端在每次请求时传输到服务器。如果传输的数据是服务器经常需要访问的东西——比如会话 cookie,这样服务器就可以轻松地将给定的请求与特定用户及其凭据/设置联系起来——这就是使用 cookie 的完美情况。 httpOnly 使它更安全,因为只有服务器才能读取它。
如果您要存储的数据不经常被服务器读取,那么 cookie 可能不是正确的选择,因为客户端每次请求都会发送 cookie;将数据放入 cookie 可能会导致不必要的开销。
对于客户端需要发送的安全敏感数据,例如会话令牌,我建议使用带有 httpOnly 的 cookie,因为这会使 XSS 攻击更难以执行。
对于不是安全敏感的数据——比如布局偏好——如果数据只被客户端读/写,将它存储在本地存储肯定会更有意义。
对于您的情况,请考虑 userType 和其他标志对于保密是否必不可少 - 听起来可能并非如此。然后,如果它们仅由客户端使用,则本地存储是更合适的选择。如果服务器偶尔需要使用它们,您可以将其放入非 httpOnly cookie - 或不放入,无论您的工作流程如何更轻松。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。