我正在编写一个小型网站,该网站应使用需要我存储 token 的身份验证系统。将它存储在 localStorage 中对我来说是现阶段最方便的选择,但据我所知,这可能容易受到 XSS 攻击。现在,安全要求不是很严格(成功的攻击不会暴露特别敏感的数据,登录名只是用来跟踪谁在现场做了什么),并且不应该有用户生成的内容网站(没有评论或类似内容),无论如何它都是通过 Angular.js 传递的。听起来单独使用 localStorage 是否相当安全,或者我是否仍应考虑在 cookie 旁边使用它以增加安全性?谢谢!
最佳答案
如果您不显示任何用户内容(甚至不显示用户登录以显示谁登录),标准的 XSS 攻击对您来说应该不是问题。
但是,请确保您没有即使是最简单的用户生成的内容。如果您要显示来自某个数据源的某些数据,这也是不应该信任的。例如,如果您要显示用户登录,则应确保在使用前正确过滤登录。用户登录可能包含攻击代码。 Angular.js 可以帮助您使用 $sanitize。还要注意,始终存在 self xss 的风险。
LocalStorage 是个好地方。然而,您应该验证 token 是否可以安全使用——它可能已过期或失效(例如,当您的 Angular.js 应用程序启动时,您可以通过调用 API 来验证 token )。
关于javascript - 如果没有用户生成的内容,网站是否可以免受 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45388087/