Где лучше хранить флаг — в куки или в локалсторадж?

Существенной разницы ни какой.
И там и там можно подменить. Вот об этом нужно помнить.

ProjectSoft, при чем тут подмена вообще?

riddlr, да всё при том, судя по флагу.
Разница только в поддержке браузеров и то, что куку вы можете создать на сервере, а вот с LocalStorage такой "фишки" нет. И никогда не храните конфиденциальные данные в LocalStorage.

ProjectSoft, и что ты судишь по флагу? Он содержит секретные данные?)) Хватит полную чушь писать, прошу по делу.

riddlr, это не чушь. Это именно разница между куками и сторейджем.
Вы спросили - вам посоветовали. Пофигу где и как вы будете что хранить.
Проверить поддерживает ли браузер LocalStorage (и такое ещё встречается) и храните хоть чёрта там в JSON формате.

PS
И ещё. У куки есть время хранения у LocalStorage - нет. Т. е. вы можете всегда достать данные даже если пользователь не заходил три года, при условии, что он не чистил историю.

ProjectSoft, советую все же научится сначала читать буквы внимательней, а потмо ответы строчить. Ощущение что человек сам с собой общается. Что опасного ты увидел в моем флаге так и не ответил на вопрос при чем тут подмена, слился.

Где и почему лучше хранить подобные данные?

Где уж внимательней?
Именно разницу и что для чего лучше всего вам и описывают.
Учитесь понимать, что вам объясняют. У вас нет желания понять.
Не нравятся ответы - гугл просто пестрит.
https://habr.com/post/349164/

ProjectSoft, вы осознаете разницу между флагом и конфиденциальными данными (я в чтретий раз спрашиваю)? Зачем вы советуете людям в вопросах безопасности не понимая сути?

ProjectSoft, что мне мешает поставить expire у куки 3 года также?

ProjectSoft, у человека, видимо, этот флаг не критичный, по типу если авторизован, то с сервера показывать то-то, а для локального отображения в SPA какой-то информации, скорее всего, сервер у него все равно проверяет авторизацию на каждый запрос и флаг хоть обподменяйся.

По вопросу, я бы выбрал localStorage. Про cookies пользователи знают побольше, чем про localStorage, могут очистить их или еще что-то сделать. Да и места в localStorage побольше, если захочется хранить что-то еще, то это будет централизованно. Чем потом переносить частично рассованные данные по cookies и еще какого месте в другое

riddlr, мне без разницы что вы храните в флагах. ЭТО ОТВЕТ!!!

Далее, если вы не читаете, а всё защищаете свое ЭГО на название флага))), КУКУ ВЫ МОЖЕТЕ ПРОВЕРИТЬ НА СЕРВЕРЕ ВО ВРЕМЯ ЗАПРОСА СТРАНИЦЫ! С LocalStorage этот фокус не пройдёт, без дополнительных запросов.
Что и где хранить - выбор за вами.

Dorothy, я человеку хочу объяснить, что то, что должно проверяться - хранится в куках, сессиях и т.д.
Настройки отображения, общая информация, История переходов, то, что не требует перепроверки - LocalStorage. Вот и всё.

ProjectSoft прав, локал сторадж может любой в консоли на тру поставить, а куку можно проверить.

Dorothy, все верно описали, ситуация именно такая. Эти флаги чисто для интерфейса, никакой критической информации.

У меня несколько непривычный для SPA кейс, т.е. я не использую токены, а кука с сессией с httpOnly, поэтому передаю флаг. Сейчас я считываю его напрямую из куки, пытаюсь понять есть ли смысл перенести в локалсторадж - все-таки это дополнительные действия и точка отказа.

Айнур Валиев, а куку тру я не могу поставить? Мда, уровень комментирующих просто зашкаливает)))

А самое печальное вот что



Страшно представить сколько новичков может попасть под нож таких советчиков.

riddlr, куку тру ты можешь поставить, но проверка то все равно на бэке.

riddlr, я смотрю у тебя скрины хорошо получается делать, да и обсирать всех.

Айнур Валиев, проверка чего? Зачем мне эту куку проверять на беке, по твоему? Ну чисто поржать, хочу посмотреть как вы начнете изворачиватся

riddlr, ну я не виноват что ты дурак

riddlr, уважаемый, если вас несколько человек советуют что-то - это уже повод задуматься. В комментариях хорошо описывается ситуация небезопасности вашего метода хранения данных об аутентификации. А вы же в свою очередь пытаетесь что-то доказать, при чём на мой взгляд безуспешно.