我将 cookie 用于最重要的细节,例如令牌。它们是安全的并且是 httpOnly。我还有一些细节要保存在客户端。就像,一旦用户登录,我就会存储 userType(客户 | 内部用户)和一些设置为 true/false 的标志。我将这些额外的细节存储在本地存储中,因为客户端将它们用于一些基本任务。将它们移动到 Cookies 并保持其 httpOnly : false(因为浏览器 JS 只能访问没有 httpOnly 的 cookie)是个好主意吗?
答案 0 :(得分:1)
您是否使用 Redux 或 Apollo 等中央 FE 数据存储?我个人会在这样的 FE 数据存储中设置 userType。
对于您将设置为 httpOnly: false 的 cookie。 cookie 和本地存储的安全性大致相当。如果您的网站上运行了恶意脚本,该脚本将能够访问本地存储和非安全 cookie。
答案 1 :(得分:1)
Cookie 由客户端在每次请求时传输到服务器。如果传输的数据是服务器经常需要访问的东西——比如会话 cookie,这样服务器就可以轻松地将给定的请求与特定用户及其凭据/设置联系起来——这就是使用 cookie 的完美情况。 httpOnly 使它更安全,因为只有服务器才能读取它。
如果您要存储的数据不经常被服务器读取,那么 cookie 可能不是正确的选择,因为客户端每次请求都会发送 cookie;将数据放入 cookie 可能会导致不必要的开销。
对于客户端需要发送的安全敏感数据,例如会话令牌,我建议使用带有 httpOnly 的 cookie,因为这会使 XSS 攻击更难以执行。
对于不是安全敏感的数据——比如布局偏好——如果数据只被客户端读/写,将它存储在本地存储肯定会更有意义。
对于您的情况,请考虑 userType 和其他标志对于保密是否必不可少 - 听起来可能并非如此。然后,如果它们仅由客户端使用,则本地存储是更合适的选择。如果服务器偶尔需要使用它们,您可以将其放入非 httpOnly cookie - 或不放入,无论您的工作流程如何更轻松。