Cookie vs HTML5 localStorage

1

Su HTML5, possiamo usare localStorage per mantenere i dati persistentemente sul lato client. Sembra migliore da un punto di vista non di sicurezza (facile accesso, non 5mb limite come i cookie, ecc.)

link

Da un punto di vista della sicurezza, quale metodo è più sicuro contro un attacco XSS? localStorage o cookie?

    
posta OscarAkaElvis 01.09.2017 - 09:27
fonte

1 risposta

3

Entrambi i cookie e la localizzazione sono accessibili tramite le API JavaScript. Quando l'utente malintenzionato può inserire JavaScript nel documento html della destinazione, può leggerlo e scriverlo ugualmente.

Un commento parla di cookie solo http. Ma non è possibile accedere a tali applicazioni tramite le applicazioni JavaScript lato client, quindi non sono in competizione con la localizzazione nella maggior parte degli scenari.

Ma una cosa che devi tenere a mente è che non esiste un cookie javascript-only . Quando memorizzi informazioni riservate in un cookie, tali informazioni verranno inviate al server ad ogni richiesta. Quando non usi https, verrà inviato in chiaro. Questo però non ha nulla a che fare con le iniezioni di XSS.

    
risposta data 01.09.2017 - 11:56
fonte

Leggi altre domande sui tag