星期一, 4月 29, 2019

JSON Web Token(JWT) 儲存在前端那邊比較好?

1. 不建議 JSON Web Token(JWT) 儲存在 localStorage/sessionStorage,透過 JavaScript XSS 攻擊可以輕易存取到。
2. 可儲存 JWT 在 HttpOnly cookie ,一般來說如果後端有用一些簡單框架,都有防止 Cross-site request forgery (CSRF) 的攻擊方式來存取 cookie 資訊。