3
私の友人は認証するためにトークンを使用していると言いますが、私はクッキーでしか作業していません。彼は、クッキーにログイン時に私を返すトークンを保存した後、これを実行することが安全である:フロントエンドにトークンをクッキーに格納し、すべての要求のヘッダーに安全に置いていますか?
module.exports.getData = (cookie) => {
return $.ajax({
method: 'GET',
url: 'account/info',
beforeSend: (xhr) => {xhr.setRequestHeader('Authorization', cookie.token);}
});
};
私の思考は他のサイトに直接クッキーにアクセスすることはできませんので、彼らはCSRF攻撃を行うことができなかったです私がローカルストレージから読んだことは、私がよく知らないXSSの脆弱性を示しています。私はこれで新しいので、これがひどい考えであるかどうか理解してください。これが本当に悪い場合、ベストプラクティスは何でしょうか?
明確にするために、私の友人はバックエンドを構築しています。私はフロントをやりたがっています – stckoverflowaccnt12
あなたの友人はなぜトークンをクッキーに入れませんか?クライアント側のコードでトークンが必要なのはなぜですか? – pvg