总结
反正是服务端加密的传过来让前端存着的,
通常的存储都可以放,只不过需要防范攻击就是了
风险
放在 webStorage 里的话,因为同源策略,可以在当前页面中注入脚本进行 xss 攻击来获取信息。比如在一个帖子下面回复了一串 js 脚本代码。
<script>report(document.cookie)</script>
,如果网站没有对留言内容进行输出转义,就会被注入脚本。
如果做了输出转义,那那些符号都会变成转义字符。这样就能防范了,目前 react 等主流的框架都默认帮我们进行了转义输出。
放在 cookie 里且设置 httponly 也可以防范 xss 攻击(如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息),但还有一个 csrf 攻击不要忘了,可以生成一个伪随机数放在请求中来防范。
攻击
xss 攻击是注入脚本窃取信息。
csrf 攻击是跨站请求伪造。