Можно ли хранить идентификатор сессии в localStorage?

Question

Безопасно ли хранить идентификатор сеанса пользователя в localStorage ? На сайте w3.org говорят

Пользовательские агенты должны вызывать исключение SECURITY_ERR всякий раз, когда любой из члены объекта Storage, первоначально возвращенного localStorage Доступ к атрибуту осуществляется сценариями, чье эффективное происхождение сценария не то же самое, что и происхождение объекта Document of the Window, на котором доступ к атрибуту localStorage.

Значит ли это, что localStorage может использоваться для конфиденциальных данных?

Answer 1

httpOnly куки обеспечивают уровень защиты XSS, который localStorage не обеспечивает:

• httpOnly файлы cookie недоступны для [потенциально вредоносного] JS.
• localStorage является доступным из JS.

Идентификаторы сеанса должны храниться в httpOnly secure файлах cookie.

Answer 2

Это зависит от того, что вы подразумеваете под "безопасностью"?

localStorage примерно так же безопасен, как cookie без ограничения пути.С веб-страниц к нему могут обращаться только страницы из того же домена.Миллионы сайтов хранят идентификаторы сеансов в файлах cookie, которые имеют примерно те же ограничения безопасности, что и localStorage.

За пределами веб-страниц ни localStorage, ни файлы cookie вообще не защищены от доступа других программ или даже инструментов отладки в Интернете, работающих натот же компьютер.