Su HTML5, possiamo usare localStorage per mantenere i dati persistentemente sul lato client. Sembra migliore da un punto di vista non di sicurezza (facile accesso, non 5mb limite come i cookie, ecc.)
Da un punto di vista della sicurezza, quale metodo è più sicuro contro un attacco XSS? localStorage o cookie?
Entrambi i cookie e la localizzazione sono accessibili tramite le API JavaScript. Quando l'utente malintenzionato può inserire JavaScript nel documento html della destinazione, può leggerlo e scriverlo ugualmente.
Un commento parla di cookie solo http. Ma non è possibile accedere a tali applicazioni tramite le applicazioni JavaScript lato client, quindi non sono in competizione con la localizzazione nella maggior parte degli scenari.
Ma una cosa che devi tenere a mente è che non esiste un cookie javascript-only . Quando memorizzi informazioni riservate in un cookie, tali informazioni verranno inviate al server ad ogni richiesta. Quando non usi https, verrà inviato in chiaro. Questo però non ha nulla a che fare con le iniezioni di XSS.
Leggi altre domande sui tag javascript client-side local-storage cookies xss