前端 token 应该放在哪里呢?

最新推荐文章于 2024-06-27 12:55:49 发布
最新推荐文章于 2024-06-27 12:55:49 发布
阅读量1.8k 收藏 1
点赞数 1
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46235143/article/details/126347509
版权

总结

反正是服务端加密的传过来让前端存着的,

通常的存储都可以放,只不过需要防范攻击就是了

风险

放在 webStorage 里的话,因为同源策略,可以在当前页面中注入脚本进行 xss 攻击来获取信息。比如在一个帖子下面回复了一串 js 脚本代码。
<script>report(document.cookie)</script>,如果网站没有对留言内容进行输出转义,就会被注入脚本。
如果做了输出转义,那那些符号都会变成转义字符。这样就能防范了,目前 react 等主流的框架都默认帮我们进行了转义输出。

放在 cookie 里且设置 httponly 也可以防范 xss 攻击(如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息),但还有一个 csrf 攻击不要忘了,可以生成一个伪随机数放在请求中来防范。

攻击

xss 攻击是注入脚本窃取信息。
csrf 攻击是跨站请求伪造。

庚辰腊七木头鱼
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端面试题:Token一般是存放在哪里 Token放在cookie和放在localStorage、sessionStorage中有什么不同
m0_54854317的博客
03-06 9553
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
前端存放token
风情
02-19 4399
1、可以将token存储在 localstorage里面,在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token就好。 2、Storage的localStorage长期有效,sessionStorage关闭浏览器时会自动清除 3、vue存...
Token以及Token的存储
CatCherry的博客
05-06 5499
客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证(服务器可以知道是谁在请求)
前端面试题-token的存放位置
最新发布
m0_62300955的博客
06-27 344
前端面试题:token
Token一般存放在哪里
热门推荐
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web中用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
前端token中4个存储位置的优缺点
王春燕的博客
06-11 6167
一、token是什么 Token:访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 二、token一般存放在哪里? token 在客户端一般存放于localStorage、cookie、或sessionStorage,vuex中。......
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 5279
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
vue生成token并保存到本地存储中
12-12
首先回顾一下token: token认证是RESTFUL.api的一个很重要的部分,通过token认证和token设置,后端会有一个接口传给前台: ...前端的资源一般放在另外的服务器中,这样后台需要进行进行跨域操作,在php代码中增加头文件
疯传短视频小程序8.4.0+前端(含token)
02-15
【标题】"疯传短视频小程序8.4.0+前端(含token)" 指的是一款专注于短视频分享和播放的小程序应用,其版本号为8.4.0,同时包含了前端开发所需的全部资源。这里的“前端”通常指的是用户界面部分,包括HTML、CSS和...
axios如何利用promise无痛刷新token的实现方法
12-08
在本文中,我们将探讨如何使用`axios`库和Promise来实现无痛刷新`token`的策略,以便在前端应用中确保用户在`token`过期时仍能顺畅地使用服务。这种需求通常出现在用户登录后,后端返回了一个`token`和其有效时间。...
token在项目中的使用
02-05
在获取用户信息时,前端通常会在每次请求中从本地存储中读取`token`,并将`token`放在HTTP请求头的`Authorization`字段中,如`Authorization: Bearer ${token}`。服务器端接收到请求后,通过`tokenUtil`验证`token`...
小程序 疯传短视频源码8.4.0+前端(含token)
02-15
【小程序疯传短视频源码8.4.0+前端(含token)】是一个关于小程序开发的资源包,其中包含了用于创建短视频分享应用的核心代码。在这个版本中,源码的更新迭代到了8.4.0,这通常意味着它可能包含了一些新功能、性能优化...
前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 3903
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端前端可以将该Token存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
前端token知识梳理:token如何存储?token过期如何处理?如何无感刷新token
余浩的博客
06-28 9802
弄两个token,一个负责鉴权得token:access_token,一个负责刷新得token:refresh_token, 每次请求的时候都带上这两个token,后端拦截器判断,先判断鉴权access_token是否有效和过期,如果有效的话,就允许访问。如果过期了,就判断刷新refresh_token是否有效,如果有效,就返回指定状态码,然后让前端根据这个状态码去吊用刷新token接口。如果刷新token失效了,就提示需要重新登录!...
token 一般存放在哪里,为什么不存放在 cookie 内
subsistent的博客
02-16 3162
token一般放在本地存储中。token存在本身只关心请求的安全性,而不关心token本身的安全,因为token是服务器端生成的,可以理解为一种加密技术。但如果存在cookie内的话,浏览器的请求默认会自动在请求头中携带cookie,所以容易受到csrf攻击。
jwt的加密原理,和token的简单操作
qq_51705526的博客
04-03 1万+
1. 两种token认证方式 传统的token认证 用户登录,服务端给前端返回token,并将token存在服务端。 以后用户再来访问时,需要携带token,服务端获取token后再去数据库获取token做校验。 JWT的token认证 用户登录,服务端给用户返回一个token(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token做校验 两种认证方式对比: jwt相对于传统的token认证,无需将token存在服务端。 因为HTTP request 本身是stateless的,所
前端如何把token放到请求地址中
05-23
通常情况下,前端token放在请求头中是更为安全的方式。但如果需要将token放在请求地址中,可以通过以下方式进行: 1. 在请求地址后面加上参数,如:http://www.example.com/api?token=xxxxx 2. 在axios等请求库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值