token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?

已于 2023-06-29 00:25:28 修改
阅读量5.1k 收藏 27
点赞数 7
分类专栏: 前端面试题 文章标签: 服务器 javascript 前端
于 2023-06-28 23:00:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lemon1330/article/details/131446603
版权

在Web开发中,token(令牌)可以存储在多个地方,包括cookie、sessionStorage和localStorage。每种存储方式都有其优点和缺点,选择哪种方式取决于你的应用需求。

1. Cookie:将token存储在cookie中是一种常见的做法。这种方式的优点是,即使在浏览器关闭后,cookie仍然存在,因此用户可以保持登录状态。然而,cookie的缺点是容易受到CSRF(跨站请求伪造)攻击。

2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。

3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。此外,localStorage中的数据可以在同一浏览器的所有标签页和窗口中共享。然而,localStorage的缺点是容易受到XSS(跨站脚本)攻击。

总的来说,将token存储在哪里取决于你的应用需求。如果你的应用需要在用户关闭浏览器后保持登录状态,那么你可以选择将token存储在cookie或localStorage中。如果你的应用需要在用户关闭浏览器后清除token,那么你可以选择将token存储在sessionStorage中。

在Web开发中,安全性是非常重要的。无论你选择哪种存储方式,都需要采取适当的安全措施,以防止CSRF和XSS攻击。

// 存储token
document.cookie = "token=your_token";  // 存储在cookie
sessionStorage.setItem("token", "your_token");  // 存储在sessionStorage
localStorage.setItem("token", "your_token");  // 存储在localStorage

// 获取token
var tokenFromCookie = document.cookie.replace(/(?:(?:^|.*;\s*)token\s*\=\s*([^;]*).*$)|^.*$/, "$1");  // 从cookie获取
var tokenFromSessionStorage = sessionStorage.getItem("token");  // 从sessionStorage获取
var tokenFromLocalStorage = localStorage.getItem("token");  // 从localStorage获取

针对存在 cookie 中的 token 如何避免 CSRF 攻击?

1. 使用SameSite属性:在设置cookie时,可以使用SameSite属性来防止CSRF攻击。SameSite属性可以设置为Strict、Lax或None。当设置为Strict时,cookie只会在同源请求中发送。当设置为Lax时,cookie会在同源请求和顶级导航(例如链接点击)中发送。当设置为None时,cookie会在所有请求中发送,但这需要Secure属性同时设置为true。

2. 使用CSRF Token:在每个请求中添加一个随机生成的CSRF Token,然后在服务器端验证这个Token。如果Token不匹配,那么请求将被拒绝。

3. 使用Referer Header:在服务器端检查Referer Header,如果请求不是来自同一源,那么请求将被拒绝。

针对存在 localStorage 中的 token ,如何避免 XSS 攻击?

1. 使用Content Security Policy(CSP):CSP可以限制浏览器只加载和执行来自特定源的脚本,从而防止XSS攻击。

2. 对用户输入进行验证和转义:对所有用户输入进行验证,并对特殊字符进行转义,以防止恶意脚本被执行。

3. 使用HttpOnly属性:虽然HttpOnly属性不能直接应用于localStorage,但你可以将token存储在一个HttpOnly的cookie中,然后在服务器端验证token。这样,即使网站受到XSS攻击,攻击者也无法通过JavaScript访问到cookie。

// 设置带有SameSite属性的cookie
document.cookie = "token=your_token; SameSite=Strict";

// 设置Content Security Policy
// 这需要在服务器端设置HTTP响应头
// Content-Security-Policy: script-src 'self'

// 对用户输入进行转义
var userInput = "<script>malicious code</script>";
var escapedInput = userInput.replace(/</g, "&lt;").replace(/>/g, "&gt;");

励志的码农
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端面试题:Token一般是存放在哪里 Token放在cookie和放在localStoragesessionStorage有什么不同
m0_54854317的博客
03-06 9540
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage ,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie ,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
【项目小tips】Cookie+SessionID与Token+LocalStorage存储登录状态
weixin_44337386的博客
09-06 1346
本系列主要整理前端项目需要掌握的知识点。本节介绍登录状态存储。
vue访问后台所携带的token值为什么会放在cookie,而不是放在localStoragesessionStorage
热门推荐
weixin_44647865的博客
03-23 3万+
vue访问后台所携带的token值为什么会放在cookie,而不是放在localStoragesessionStorage 1、因为cookie采取同源策略,只有相同域名的网页才能获取域名对应的cookie,而别人在其他域名无法获取你的cookie,也就无法获取你的token,所以当别人伪造请求时,tokencookietoken是绝对不一致的; cookie和session 相同:都是用来跟踪浏览器用户身份的会话方式; 区别: 保持状态:cookie存在浏览器端,session保存在服务端
sessionStoragelocalStoragecookies、token、session、jwt区别(1)
最新发布
2301_77033813的博客
05-13 904
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
cookie+session 和 token的区别
liyanhecsdn的博客
01-10 512
1.session:session是需要服务器端存储,浪费空间,当用户量太大,无法集群,需要共享session 2.cookie:手机端很多浏览器不支持cookie或者禁用cookiecookie无法跨域,不能跨站点登录,cookie存在浏览器端, 3.token优势: token无状态,服务端不用存储token,只需要签发和校验token 集群,token是无状态的,在集群的时...
vue项目实现登录(sessionStorage 存储 token)
weixin_38797742的博客
04-12 4101
前提参考:vue项目封装axios 思路: // 1, 前端校验,校验成功后向后台传用户名和密码(每次请求接口都要传 token) // 2, 后端收到请求,验证用户名和密码,验证成功,生成 token 返回给前端 // 3, 前端拿到token,将token存储到localStorage // 4, 跳转路由,就判断 localStroage 有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 // 5, 后端判断请求头有无token,有token,就拿到token验证token,验
Token以及Token的存储
CatCherry的博客
05-06 5456
客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证服务器可以知道是谁在请求)
token到底存在哪比较适合?web storage和cookie的区别到底是什么?
qq_43618136的博客
03-11 4987
首先我们要知道token是个什么东西? 其实token就是信息加密后生成的登录凭证,tokens 是多用户下处理认证的最佳方式。因为 无状态、可扩展(不需要把session存在本地) 支持移动设备 跨程序调用 安全 那接下来你要知道的是存储这一东西的选择方向: 你可以存在cookiecookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据。跟服务器没啥关系,仅仅是浏览器实现的一种数据存储功能。他的大小和数量都被相应限制。 你可以存储在session, se
什么是token token用在哪 token放在哪比较好
SSS01233210的博客
01-03 1万+
1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token 2. token用在用户登录城后之后会返回给客户端, 3. token主要存储有: 3.1 存储在localStoragesessionStorage,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里) 优点:可以跨域 缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js
浅谈token/token在数据包的位置
weixin_73180072的博客
09-25 1816
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以压缩成的一定长度的十六进制字符串。为防止token泄露)。
浅析数据存储的三种方式 cookie sessionstorage localstorage 的异同
11-20
cookie sessionstorage localstorage ,那么这三种数据的存储又有什么关系呢?让我们一起来看看吧 cookie:保存cookie值: var dataCookie='110'; [removed] = 'token' + "=" +dataCookie; 获取指定名称的cookie值 ...
详解Vuelocalstoragesessionstorage的使用
11-29
在Vue开发,合理利用`localStorage`和`sessionStorage`对于数据持久化和用户状态管理至关重要。然而,直接使用它们的原生语法可能导致一些问题,比如耦合度过高、键值冲突以及空间管理不当等。为了解决这些问题,...
前端知识Token知识点笔记.pdf
05-31
- Token通常存储在客户端,如localStoragesessionStorage,而不是像Cookie那样存储在服务器。 - Token的无状态性意味着服务器不存储与Token相关的会话信息,减少了服务器负担。 - Token可以通过数字签名确保完整性...
token在项目的使用
02-05
`token`的存储一般有两种方式:一种是在客户端的本地存储(如浏览器的CookieLocalStorageSessionStorage),另一种是保存在HTTP的`Authorization`头。在后续的请求,客户端会在每个请求头附带上这个`token...
详解vue项目使用token的身份验证的简单实践
10-17
4. 存储Token:可以选择localStoragesessionStoragecookie来存储TokenlocalStoragesessionStorage都是浏览器提供的API,前者可以跨页面共享且长期有效,后者仅限于当前会话。然而,它们都不能跨域共享,而...
cookie、Session、TokensessionStoragelocalStorage简介
戰士博客
10-09 2461
cookie 是一个非常具体的东西,只得是浏览器里永久存储的一种数据,是浏览器实现的一种数据存储功能。Cookie在计算机是个存储在浏览器目录的文本文件,当浏览器运行时,存储在RAM发挥作用(此种 Cookies 称作 Session Cookies),一旦用户从该网站或服务器退出,Cookie可存储在用户本地的硬盘上(此种Cookies称作Persistent Cookies)。Cook...
vue使用localStorage存储token
jinann0的博客
12-12 6784
vue可以使用localStorage方式和sessionStorage方式来存储数据,现在描写的就是运用localStorage把登录时获取到的token存储到浏览器
前端 token 应该放在哪里呢?
weixin_46235143的博客
08-15 1844
反正是服务端加密的传过来让前端存着的,通常的存储都可以放,只不过需要防范攻击就是了。
Token放在 cookie, sessionStoragelocalStorage 的区别
温情
06-07 8431
什么是token
token放在cookiesessionStoragelocalStorage的优缺点
10-28
这个错误通常是由于token的签名不正确导致的。在使用HmacSHA256算法进行验签时,如果token的签名与使用相同密钥生成签名的签名不匹配,则会出现这个错误。可能的原因包括密钥不正确、token被篡改或者token格式不正确等。解决方法包括检查密钥是否正确、检查token是否被篡改或者重新生成token等。同时,也可以参考引用和引用的解决方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值