• Token其实就是访问资源的凭证。

一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。

它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式:

1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。
2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。
3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存放于localStorage,cookie,或 sessionStorage中。

  • 将token存放在webStroage中,可以通过周域的js来访问。这样会导致很容易受到xss攻击,特别是项目中引入很多第三方js类库的情况下。如果js脚本被盗用,攻击者就可以轻易访问你的网站, webStroage作为一种储存机制,在传输过程中不会执行任何安全标准。

Xss攻击: cross-site Scripting(跨站脚本攻击)是一种注入代码攻击。恶意攻击者在目标网站上注入script代码,当访问者浏览网站的时候通过执行注入的script代码达到窃取用户信息,盗用用户身份等。

  • 将token存放在cookie中可以指定 httponly,来防止被Javascript读取,也可以指定secure,来保证token只在HTTPS下传输。缺点是不符合Restful最佳实践,容易受到CSRF攻击。

CSRF跨站点请求伪造(Cross-Site Request Forgery),跟xsS攻击一样,存在巨大的危害性。简单来说就是恶意攻击者盗用已经认证过的用户信息,以用户信息名义进行一些操作〈如发邮件、转账、购买商品等等)。由于身份已经认证过,所以目标网站会认为操作都是真正的用户操作的。CSRF并不能拿到用户信息,它只是盗用的用户凭证去进行操作。

前端面试题:Token一般是存放在哪里 Token放在cookie和放在localStorage、sessionStorage中有什么不同相关推荐

  1. promise的状态以及api介绍_2019年,盘点一些我出过的前端面试题以及对求职者的建议

    笔者虽然曾经也面试过很多求职者,但是对于前端的笔试和面试,我觉得并不能体现一个人的真实能力,所以建议大家多修炼前端真正的技术.对于前端面试题,之前也承诺过读者要出一篇,笔者大致总结一下曾经面试的题目. ...

  2. 前端面试题之浏览器原理篇

    前端面试题之浏览器原理篇 一.浏览器安全 1. 什么是 XSS 攻击? (1)概念 (2)攻击类型 2. 如何防御 XSS 攻击? 3. 什么是 CSRF 攻击? (1)概念 (2)攻击类型 4. 如 ...

  3. 前端面试题总结(包含答案解析)

    前端面试题总结 css.html部分 1.h5新特征有哪些? 语义化标签,如nav,footer,header,section等 音频.视频API 使用方法 视频使用: <video src=& ...

  4. web前端面试题完美整理/涵盖html,CSS、JS、浏览器、Vue、React、移动web。

    本篇文章整理总结了一些前端面试题,涵盖面很广,并且面的都是知名大厂,所以这些题还是很有代表性的,都掌握以后一面基础面应该没什么问题,二面也能应付大半,奉上: css相关 更多教程:https://su ...

  5. 2018 大厂高级前端面试题汇总

    (给前端大全加星标,提升前端技能) 作者:木易杨 本人于7-8月开始准备面试,过五关斩六将,最终抱得网易归,深深感受到高级前端面试的套路.以下是自己整理的面试题汇总,不敢藏私,统统贡献出来. 面试的公 ...

  6. 身为三本的我就是凭借这些前端面试题拿到百度京东offer的,前端面试题2021及答案

    更新啦!更新啦! 2022年面试题及答案 点进来之后你的噩梦就要来了,接下来你要面对上百道面试题,那么,如果你-- 是个小白菜: 推荐使用2~3周的时间来消化接下来的面试题, 遇到不会的没听说过名词请 ...

  7. 想进互联网大公司?那这些题你总得会吧?前端面试题2022及答案前端面试题2022及答案

    长文噩梦预警! 如果你 想进大型互联网公司 本文掌握程度90%~100% 想进中大企业 掌握程度70%~85% 想进小企业 掌握程度45%~80% 想家里蹲 掌握程度:undefined 咳咳,如果你 ...

  8. 前端面试题(HTML、JS、Vue、React、小程序)

    前端面试题 HTML && CSS HTML 1.Div 里面有个一个div ***** Q:有几种方法可以水平,垂直居中 2.doctype的作用 * 3.link标签和import ...

  9. 金三银四,磨砺锋芒;剑指大厂,扬帆起航(2020年最全大厂WEB前端面试题精选)下

    引言 元旦匆匆而过,2020年的春节又接踵而来,大家除了忙的提着裤子加班.年底冲冲冲外,还有着对于明年的迷茫和期待!2019年有多少苦涩心酸,2020年就有更多幸福美好,加油,奥利给!怀着一颗积极向上 ...

  10. 中级前端面试题必备知识点(2.5w+月薪)进阶

    中级前端面试题必备知识点(2.5w+月薪)进阶 前端已经不再是5年前刚开始火爆时候的那种html+css+js+jquery的趋势了,现在需要你完全了解前端开发的同时,还要具备将上线.持续化.闭环.自 ...

最新文章

  1. cmake (4)多个子目录
  2. Dubbo的Zookeeper版本
  3. 电脑中病毒后被隐藏的文件的显示
  4. Asp.Net Core 2.0 多角色权限认证
  5. 截取视频段转换为GIF动图
  6. JavaSE 编写第一个程序
  7. 工具04:PuTTY的小伙伴PuTTYgen和Plink
  8. 技术大众化--10款无需编程的App DIY开发工具
  9. python-函数-圆形生成器
  10. 勒让德多项式的正交性和归一化
  11. C/C++ 八股文(二)
  12. 数据标注工具下载中遇到的各种问题
  13. 美颜sdk常用功能的实现原理
  14. 嵌入式大牛开发经验心得
  15. 同一网段和不同网段中的两台主机通信的过程
  16. 计算机作文1500字,网络人生作文1500字
  17. CSDN-Adobe Flex/AIR专区——http://flex.csdn.net/ 很多资料
  18. 用Python制作QQ机器人聊天插件(1)
  19. 跑一下Real-ESRGAN-master
  20. 信息系统监理—监理项目的组织和规划

热门文章

  1. 前端一班:HTML5当天学习总结-摘抄张果博客园
  2. 读锁有什么用?读为什么要加锁?
  3. H5与其他平台交互框架
  4. hive中生成32位uuid
  5. 获取服务器微信头像更改不同规格图片大小
  6. 竞争情报分析工具Alexa
  7. 网站出现问题,如何诊断?
  8. 普通中继模型-吞吐量
  9. Concurrency and Race Conditions
  10. 【Python百日进阶-数据分析】Day137 - plotly旭日图:go.sunburst()实例