cookie
关于cookie
用于方便服务端管理客户端状态提出的一种机制。
document.cookie
客户端JavaScript可通过document.cookie方式获取非HTTPOnly状态下当前文档的所有cookie信息。
关于Cross-Site request forgery(CSRF)
跨站请求伪造。
常用防范方法:
- 针对XSS攻击,实现输入值校验。
- 重要操作需要确认操作。
- 重要敏感的cookie信息需要设置尽量短的生命周期。
- 更多防范方法,参考这里
cookie可替代方案——Web Storage API
Web Storage API 提供了一种更安全存储键值对数据的可选方案,它比使用cookie方式更直观与安全。
Web Storage API包含了两种存储数据的机制:
- sessionStorage 包含了一个针对每个源数据存储的独立数据区域,在页面session有效期间都可以访问(只要浏览器开启状态,无论是重新加载页面或重置页面都可以在有效期间访问sessionStorage)。
- localStorage 和前者一样。不同点在于localStorage将永久保存这些数据。即使在浏览器关闭和重现打开依旧能访问里面的数据。