Немного запутался по поводу использования localStorage или куки

Question

Итак, я прочитал в нескольких статьях, что localStorage или sessionStorage более «подвержены» инъекции xss / csrf, чем файлы cookie.

Первое: это правда?

Я знаю, чтоЯ мог бы использовать cookie для проверки валидации xsrf.

У меня есть узел js-сервер и реагирующий интерфейс js.И, чтобы ничего не пропустить, я использую localStorage для хранения JWT (мой токен доступа).Это действительно плохо, для того, что я понял, прочитав.

Теперь: я хочу, чтобы мой сайт был действительно безопасным, и здесь я запутался.

Должен ли я отказаться от использования JWT или я могу сохранить свой JWT в безопасном файле cookie?А затем добавить несколько дополнительных куки о x-srf, xss?

Или я должен использовать cookie-сессию вместо jwt?

Я не хочу больше использовать localStorage (или sessionStorage) после чтений этого дня.

И если я не использую JWT, как я могу хранить (в зашифрованном виде) информацию в сеансе cookie?И я должен создать файл cookie во внешнем интерфейсе или отправить значение файла cookie с сервера на клиент, а затем установить файл cookie?

Answer 1

Преимущество использования файлов cookie заключается в том, что вы можете пометить, что файлы cookie недоступны с помощью javascript.

Это преимущество по сравнению с LocalStorage, поскольку LocalStorage всегда доступен с помощью javascript.Смысл безопасности LocalStorage заключается в том, что ЕСЛИ у вас есть проблема безопасности XSS, злоумышленник может получить токен.

Однако, если вы используете куки-файлы, может также бытьзлоумышленник может воспользоваться им, ЕСЛИ у вас есть проблема с безопасностью CSRF.Или, если у вас есть проблема с XSS, у злоумышленника все еще может быть возможность использовать сеанс, если он может напрямую общаться с API.

Здесь нет правильного ответа, но файлы cookie или Localstorage обычно являются 'достаточно хороший вариант.Просто попробуйте придерживаться других рекомендаций по безопасности.Всегда помните о проблемах XSS и используйте очень строгие политики SCP.Этот пункт не является исчерпывающим.OWASP имеет хорошие руководства по безопасности.