問題描述

后臺(tái)系統(tǒng)，用h5本地存儲(chǔ)將用戶token存儲(chǔ)下，每次請求帶上token，這樣安全嗎？

問題解答

提到安全，你需要知道你的對手是誰，你防范的是怎樣的情況。

localStrorage 存 token 然后手動(dòng)帶上，不如放 cookie。

如果是敏感信息，你在防誰呢？

要么你在防用戶。那么你不把數(shù)據(jù)傳給用戶就行了嘛。如果你只是想提高對抗的成本的話，也可以 AES 什么一下。

要么你在防木馬，或者傳聞掃用戶硬盤的流氓軟件。這個(gè)也是防不勝防，只能是提高成本。如果對方是有針對性地，你只要把數(shù)據(jù)傳過來了，怎么都是沒用的。否則你 base64 一下也許足夠了。

敏感信息就不應(yīng)該放到本地存儲(chǔ)，如果是token放到cookie就行了，何必放到下本地存儲(chǔ)呢。而且還不一定兼容老的瀏覽器。

不敏感的話可以,敏感的話還是加個(gè)密吧

local storage是明文存儲(chǔ)，最好加密

localStrorage 補(bǔ)充一點(diǎn)，你還得考慮用戶設(shè)置的隱私模式，隱私模式下localStrorage不可用

說個(gè)題外話，沒有“h5”這種東西，只有 HTML5。而且中文和英文中間必須有半角空格！不好意思，隔壁片場的溜達(dá)過來的。