Question

Мне нужно хранить токены доступа / обновления в браузере.Я читал, что не безопасно хранить AT и RT в localStorage или sessionStorage.Если я храню AT и RT в localStorage, и я буду реализовывать меры безопасности для предотвращения XSS-атак.Будет ли безопасно хранить его там?Спасибо

Michele · Answer 1 · 06 июля 2019

Вы можете хранить свои токены в локальном хранилище, пока вы очищаете данные на стороне клиента, прежде чем вернуть страницу клиенту.

Пример: клиент запрашивает страницу /user/?name=<script>[malicious script which wants to steal stored tokens]</script>.Сервер должен экранировать символы < и > перед возвратом страницы клиенту (например, замена < на &lt и > на &gt).Таким образом, скрипт не будет выполнен, как только клиент получит страницу.

Проверьте эту статью для подробного объяснения: https://www.checkmarx.com/2017/10/09/3-ways-prevent-xss/

Хранение access_token - JavaScript

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Хранение access_token - JavaScript

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы