ユーザーのセッションIDをlocalStorageに保存するのは安全ですか? w3.org siteで、彼らはもともとのlocalStorage 属性によって返されたストレージオブジェクトの メンバーのいずれかがその実効スクリプト起源と同じ ではありません、スクリプトによってアクセスされるたびにセッションIDをlocalStorageに保存しても構いませんか?
ユーザーエージェントはSECURITY_ERR例外を発生させなければならないと言いますローカルオブジェクトの属性にアクセスしたWindowオブジェクトのDocumentの起点。 。
これは、機密データにはlocalStorageを使用できますか?
"それは安全です"という意味に依存しますか?
localStorageは、パスが制限されていないクッキーほど安全です。 Webページからは、同じドメインのページでしかアクセスできません。数多くのサイトでは、セッションIDがlocalStorageとほぼ同じセキュリティ制限を持つCookieに格納されます。
ウェブページ以外では、localStorageもクッキーも、同じコンピュータ上で実行されている他のプログラムやWebデバッグツールからのアクセスから安全ではありません。
httpOnlyクッキーはlocalStorageが提供していないことをXSSの防御の層を提供します。
httpOnlyクッキーはJS [悪意のある]からアクセスすることはできません。localStorageは、JSからアクセス可能なです。セッションIDは、httpOnlysecureのCookieに保存する必要があります。
私はそれがあなたが敏感な人によって何を意味するかによって決まると思います。これはプレーンテキストで保存され、ブラウザのデバッグ機能からアクセスできます。 –
クッキーと変わるところはありません –
'sessionStorage'ではなく' localStorage'に保存してもよろしいですか? –