Является ли Firebase Auth локальным (постоянное состояние авторизации) безопасным и безопасным от XSS и CSRF для браузеров?

Question

Я использую Firebase Auth для веб-приложения, которое включает финансовые транзакции.Таким образом, безопасность является самой важной вещью для моего приложения.Согласно этому документу , Firebase может сохранять свой токен в нескольких сеансах, сохраняя его где-то.Там не упоминается, насколько это безопасно от XSS.Конечно, я могу только предположить, что это безопасно, потому что это Google, но я хочу знать больше об этом.

Мы все прочитали статьи, отмечающие, как localStorage небезопасен для хранения аутентификации, и cookie + csrf token + jwt+ httpOnly - более безопасный способ обработки аутентификации для браузеров.

Как Firebase хранит свой токен?Использует ли он localStorage или cookie, или их комбинацию?

Answer 1

Firestore сохраняет маркер в индексированной БД (https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API). БД называется «firebaseLocalStorageDb», хранилище объектов называется «firebaseLocalStorage», а ключ firebase: authUser: [id].

Для дальнейшего просмотра кода, проверьте https://github.com/firebase/firebase-js-sdk/blob/master/packages/auth/src/authuser.js.