Cookie или localStorage?

Question

WebDev @kirill-93

JavaScript

Cookie или localStorage?

Распространенная реализация авторизации в SPA выглядит так:

axios.post('auth', authData)
    .then(res => {
        token = res.data;
    });

localStorage.setItem('token', token);

axios.defaults.headers.common['token'] = token;

Во всяком случае во многих туториалах она выглядит примерно так.
Вчера смотрел курс Ильи Кантора по авторизации в WebSocket, где он рассматривал передачу session_id на сервер через вебсокеты. Авторизация в проекте была сделана на куках и стояла задача передать sid из куки в ws соединение.
Первый возможный вариант, на который указал Кантор - это убрать с кук флаг httpOnly и получить к ним доступ из js.
Но тут же оговорился, что так небезопасно делать, из-за xss.
Но ведь sid в localStorage это то же самое, что и sid в куках без httpOnly. Я имею ввиду доступность этих данных.
Так можно ли делать авторизацию способом из туториалов с сохранением sid в localStorage?

Вопрос задан более трёх лет назад
5025 просмотров

10 комментариев

Подписаться 14 Простой 10 комментариев

Максим Тимофеев @webinar

Так можно ли делать авторизацию способом из туториалов с сохранением sid в localStorage?

Ну так куки это же не хранилище, это способ передачи данных в данном случае. Как хранилище лучше localStorage, но Вам то sid надо в каждом запросе. Так что передавать Вы его все равно будете как-то. А следовательно именно для хранения sid куки лучший вариант.

Написано более трёх лет назад
Талян @flapflapjack

LocalStorage же доступен только после отправки хеадеров, например из JS, а куки - раньше.

Наверное этот факт должен ответить на ваш вопрос.

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

Анатолий Цивилёв, А какое это имеет отношение к вопросу? У меня сайт SPA на VueJs, зачем мне тот факт, что куки устанавливаются раньше, если все запросы пойдут после загрузки приложения в браузер.

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

Максим Тимофеев, Ну почему куки - это не хранилище? Мне нужно в каждом запросе передавать идентификатор, а при перезагрузке страниц его где-то хранить. Куки отлично подходят и как хранилище и как способ передачи на сервер.
Вопрос то в другом: данные в куках защищены от XSS, а в localStorage нет. Так почему его используют?

Написано более трёх лет назад
Талян @flapflapjack

WebDev, в локалстораге можно хранить объект, а в куках - только строки.

А отношение мой ответ имеет к вашему вопросу точно такое же, как и отсутствие необходимых тегов у вашего вопроса. Я например могу расшифровать аббревиатуру SPA , как SPA-салон.

Не думайте, что если вы знаете, как расшифровывается аббревиатура, то и весь остальной мир тоже знает.

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

Анатолий Цивилёв, На специализированном ресурсе, пользователи думают, что SPA - это SPA-салон? Серьезно?

Написано более трёх лет назад
Талян @flapflapjack

WebDev, ну я утрирую. Просто лично я не знал, что вы имеете ввиду одностраничное приложение. В вашем случае наверное лучше исходить из типа хранимых данных. Как я уже сказал выше - объект без сериализации в куки вы не сунете. А сериализация - лишнее действие.

Написано более трёх лет назад
alex-1917 @alex-1917

Анатолий Цивилёв, вот-вот!
я вообще читаю только заголовок+теги, тем более если вопрос от начинашки, там иной раз такого бреда в этой своей лапше пишут,что ай-ай и ой-ой.

Написано более трёх лет назад
Талян @flapflapjack

alex-1917, моя мясная нейронная сеть не смогла понять - сарказм это был, или нет:)

Написано более трёх лет назад
Stalker_RED @Stalker_RED

Анатолий Цивилёв, я вам по секрету скажу: в localStorage тоже строки)

И придется делать десериализацию.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 4

13 комментариев

WebDev @kirill-93 Автор вопроса

Большое спасибо за развернутый ответ!

Написано более трёх лет назад
Владимир Скибин @megafax

Артём Иннокентьев, Остается только продумать технологию авторизации для websocket для каждого из вариантов и тогда будет совсем развернутый ответ.

Написано более трёх лет назад
sim3x @sim3x

1
Не надо делать CSRF защиту на сервере - нет кук, нет проблем
? Кука один из механизмов защиты от csrf, а не проблема

2
Надо делать защиту от XSS на фронте, т.е. экранирование данных при рендере - чтобы потенциально вредоносный JS код превращался в строку, а не вставлялся в DOM
если на беке нет фильтрации, то вопрос обхода "санитайзера на фронте" вопрос времени

Написано более трёх лет назад
Даша Циклаури @dasha_programmist

еще в пользу кук добавь если нужен серверный рендеринг

Написано более трёх лет назад
Артём Иннокентьев @artinnok

1. sim3x, авторизационные данные лежат в localStorage сайта foo.com - с сайта bar.com нельзя получить данные localStorage сайта foo.com. не вижу смысла делать CSRF-атаку, если нельзя вынудить пользователя послать авторизационные данные.

2. в целом, это вопрос реализации.

Написано более трёх лет назад
Andrew Lewman @ImLoaD

5. Всегда остается человеческий фактор - забыли сделать экранирование при рендере на фронте, JS код имеет доступ к токену и он утек

можно подробней? Какое экранирование при каком рендере))? JS код же всегда имеет доступ к localStorage?

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

Andrew Lewman, Если пользователь на вашем сайте в поле "комментарий" вставит js код, этот код не должен быть выполнен. Для этого вывод всех комментариев должен быть экранирован.

Написано более трёх лет назад
sim3x @sim3x

Артём Иннокентьев,
1. https://www.owasp.org/index.php/Cross-Site_Request...

2. Нет

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

sim3x, Поясните, пожалуйста, фразу
если на беке нет фильтрации, то вопрос обхода "санитайзера на фронте" вопрос времени
. Я часто вижу, как в дискуссиях касательно безопасности приводится аргумент "обход вашей фильтрации - это дело времени". Как это понимать? Если у меня экранируются, например ВСЕ спецсимволы, то злоумышленник не сможет разместить тег, а если он не сможет разместить тег, то как он внедрит зловредный код? Покажите пример, если можно.

Написано более трёх лет назад
sim3x @sim3x

WebDev,
ВСЕ спецсимволы
во времена юникода и не всегда корректной обработки не существует

Написано более трёх лет назад
WebDev @kirill-93 Автор вопроса

sim3x, Можно пример? Если символы "<" и ">" экранируются, то я не могу вставить html элемент, верно? Я же не могу заменить эти скобки кодами юникода?

Написано более трёх лет назад
sim3x @sim3x

WebDev, https://www.google.com.ua/search?q=cve+htmlspecialcahrs

Написано более трёх лет назад
Andrew Lewman @ImLoaD

WebDev, :D затупил

Написано более трёх лет назад

2 комментария

4 комментария

WebDev @kirill-93 Автор вопроса

Поясните, пожалуйста на примере.

Написано более трёх лет назад
alex-1917 @alex-1917
WebDev,
кусок из опенкарт:
if ($.totalStorage != undefined && $.totalStorage('display') != null) { $cookie = $.totalStorage; } else if ($.cookie != undefined && $.cookie('display') != null) { $cookie = $.cookie; }

$.totalStorage изначально формируется в еще одном файле, ну а далее параметр display используется в шаблонах списков товаров (сиречь категория, результаты поиска и т.д.)- отображение товаров сеткой или списком.
Т.е. имеем универсальную функцию - если куки запрещены, юзается локалсторадж и наверное наоборот)))) Хотя чтобы был запрещен локалсторадж, это надо найти еще такого гика с таким мохнатым браузером....
Написано более трёх лет назад
profesor08 @profesor08 Куратор тега JavaScript

alex-1917,
Во первых, размер кук ограничен, и хранить все там не сможешь. Во вторых localStorage не доступен в safari в инкогнито, значит надо как-то это обрабатывать.

Написано более трёх лет назад
alex-1917 @alex-1917

profesor08, автор вроде хочет какие-то токены, не?
И пусть тогда теги ставит хотя бы два, тут стесняться ни к чему, я редко вчитываюсь в лапшу, читаю только заголовок+теги - всё!
)))

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

Простой
Выдает ошибку, сам файл не нулл(а ошибка выдается там где подключается жс), как исправить?
- 1 подписчик
- 39 минут назад
- 26 просмотров
0

ответов
JavaScript

Простой
Пустая страница, ошибок нет. JS. В чем проблема?
- 1 подписчик
- 39 минут назад
- 34 просмотра
0

ответов
JavaScript

Простой
Какой фреймворк использовать для форм JS?
- 1 подписчик
- 42 минуты назад
- 24 просмотра
0

ответов
JavaScript

Простой
Почему change срабатывает раньше чем click?
- 1 подписчик
- час назад
- 43 просмотра
1

ответ
JavaScript

Простой
Как получить metadata аудио на IOS?
- 1 подписчик
- 7 часов назад
- 20 просмотров
0

ответов
JavaScript

+2 ещё

Простой
Как отобразить массив из элементов?
- 1 подписчик
- вчера
- 96 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Неизвестные скрипты на сайте (plupload и moxie). Для чего?
- 1 подписчик
- вчера
- 113 просмотров
1

ответ
JavaScript

+2 ещё

Простой
Как сделать так, чтобы звезда падала только при скролле страницы?
- 1 подписчик
- вчера
- 86 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Почему вылезает второй слайд?
- 1 подписчик
- вчера
- 39 просмотров
1

ответ
JavaScript

Простой
Почему в букмарклете должным образом не выполняется Alt + Click?
- 1 подписчик
- вчера
- 46 просмотров
1

ответ
Показать ещё Загружается…

JavaScript разработчик

summer • Ярославль

от 100 000 до 140 000 ₽

Junior JavaScript Developer

КРАФТТЕК • Санкт-Петербург

от 60 000 до 80 000 ₽

JavaScript разработчик

Мэтч

от 80 000 ₽

Разработка VST-плагина

19 апр. 2024, в 20:43

20000 руб./за проект

Нарисовать баннер для интернет-магазина

19 апр. 2024, в 20:35

500 руб./в час

Разработать несистемный алерт

19 апр. 2024, в 20:11

500 руб./за проект

Так можно ли делать авторизацию способом из туториалов с сохранением sid в localStorage?

Ну так куки это же не хранилище, это способ передачи данных в данном случае. Как хранилище лучше localStorage, но Вам то sid надо в каждом запросе. Так что передавать Вы его все равно будете как-то. А следовательно именно для хранения sid куки лучший вариант.
LocalStorage же доступен только после отправки хеадеров, например из JS, а куки - раньше.

Наверное этот факт должен ответить на ваш вопрос.
Анатолий Цивилёв, А какое это имеет отношение к вопросу? У меня сайт SPA на VueJs, зачем мне тот факт, что куки устанавливаются раньше, если все запросы пойдут после загрузки приложения в браузер.
Максим Тимофеев, Ну почему куки - это не хранилище? Мне нужно в каждом запросе передавать идентификатор, а при перезагрузке страниц его где-то хранить. Куки отлично подходят и как хранилище и как способ передачи на сервер.
Вопрос то в другом: данные в куках защищены от XSS, а в localStorage нет. Так почему его используют?
WebDev, в локалстораге можно хранить объект, а в куках - только строки.

А отношение мой ответ имеет к вашему вопросу точно такое же, как и отсутствие необходимых тегов у вашего вопроса. Я например могу расшифровать аббревиатуру SPA , как SPA-салон.

Не думайте, что если вы знаете, как расшифровывается аббревиатура, то и весь остальной мир тоже знает.
Анатолий Цивилёв, На специализированном ресурсе, пользователи думают, что SPA - это SPA-салон? Серьезно?
WebDev, ну я утрирую. Просто лично я не знал, что вы имеете ввиду одностраничное приложение. В вашем случае наверное лучше исходить из типа хранимых данных. Как я уже сказал выше - объект без сериализации в куки вы не сунете. А сериализация - лишнее действие.
Анатолий Цивилёв, вот-вот!
я вообще читаю только заголовок+теги, тем более если вопрос от начинашки, там иной раз такого бреда в этой своей лапше пишут,что ай-ай и ой-ой.
alex-1917, моя мясная нейронная сеть не смогла понять - сарказм это был, или нет:)
Анатолий Цивилёв, я вам по секрету скажу: в localStorage тоже строки)

И придется делать десериализацию.

Answer 1 · 2019-02-06 15:26:46

Тут нет оптимального варианта - надо смотреть на бэкэнд и фронтенд совокупно.
Далее, считаем что фронтенд SPA, бэкэнд чистое API.

Если выбор за Cookies:

На сервере необходимо реализовать защиту от CSRF
На фронте также надо будет реализовать обвязку под передачу CSRF-токена
Вся авторизация будет обрабатываться бэкэндом - т.е. он ставит куку через Set-Cookie с httpOnly и secure и сам же читает из куки для аутентификации / авторизации
Фронтенд не имеет доступа к кукам - не думает об авторизации и об XSS
Обычно, XSS используют чтобы украсть авторизационный токен через JS - если авторизационная кука httpOnly - нет доступа к кукам через JS, нет проблем

Если выбор за localStorage:

Не надо делать CSRF защиту на сервере - нет кук, нет проблем
Экранировать потенциально опасные данные бэкэндом на входе - обеспечит дополнительную защиту от XSS при рендере данных
Надо делать защиту от XSS на фронте, т.е. экранирование данных при рендере - чтобы потенциально вредоносный JS код превращался в строку, а не вставлялся в DOM
На фронте надо сделать обвязку под сохранение / передачу / валидацию токена
Всегда остается человеческий фактор - забыли сделать экранирование при рендере на фронте, JS код имеет доступ к токену и он утек

Могу посоветовать использовать фреймворки, как на бэкэ, так и на фронте - они обычно имеют уже реализованную защиту от основных типов атак. Мы на проекте юзаем localStorage и React, ну и верим в лучшее :)

Answer 2 · 2019-02-06 11:53:38

Храните где хотите.

Если передача данных идет по http, и сервер должен как-то отличать одного пользователя от другого (аутентификация нужна), то придется передавать хоть какой-то идентификатор. В url, в каком-то поле post-запроса, или в куках.
Обычно все делают в куках, это удобнее.

Если передача данных не http-запросами, то можете использовать какой-то другой способ аутентификации.

Answer 3 · 2019-02-06 12:14:59

alex-1917 @alex-1917

Если ответ помог, отметь решением

Ответ написан более трёх лет назад

4 комментария

Answer 4 · 2019-02-23 10:40:50

Делаем запрос на специальный URL в которой указан csrf токен, получаем токен для разового коннекта по websocket.
Формируем url для websocket с этим токеном в пути и подключаемся.

Cookie или localStorage?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт