Wpis z mikrobloga

Skopiuj link

21.11.2016, 07:27:10

#angularjs #react #webdev

założmy że mam strone napisana w ng2. Strona z logowaniem itp itd.

Czy przechowywanie tokenu w localStorage to dobry pomysł?

Cronox

bonus

21.11.2016, 07:33:54

@qwelukasz: W LocalStorage są podatne na atak XSS. Zaleca się trzymanie w Cookies z dodatkowym zabezpieczeniem CSRF. https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage

qwelukasz

21.11.2016, 07:45:35

@bonus:

This articles suggest that you shouldn't use localStorage because you will be susceptible to XSS attacks. Instead it tells you to store your JWT token in HttpOnly cookie and CSRF token in a normal cookie so that you can protect yourself from XSS and CSRF.

What this article doesn't tell you is that you are still not protected against XSS because what the attacker can do is inject script that

danek_szy

npsr

21.11.2016, 07:50:00 via Android

@qwelukasz imho #!$%@? z tym local storage. Dorzuć footprinty, heartbeata i timeout na sesję i tyle :) No chyba, że pracujesz dla nasa albo w pizzerii #pdk :P

Hadzik

bonus

21.11.2016, 08:44:42

@qwelukasz: Mimo wszystko HttpOnly można włączyć i jest zabezpieczone przed XSS - ta opcja to podstawowy standard bezpieczeństwa. Jeśli chodzi o localstorage, teoretycznie jeśli aplikacja jest dobrze escapowana itd. też zmniejsza się ryzyko. Więc obie opcje mogą być zamienne jeśli są dobrze wykorzystane.