Cookie vs HTML5 localStorage

1

En HTML5, podemos usar localStorage para mantener los datos de forma persistente en el lado del cliente. Parece mejor desde un punto de vista no relacionado con la seguridad (fácil de acceder, no con un límite de 5 mb como las cookies, etc.).

enlace

Desde un punto de vista de seguridad, ¿qué método es más seguro contra un ataque XSS? ¿Almacenamiento local o cookies?

    
pregunta OscarAkaElvis 01.09.2017 - 09:27
fuente

1 respuesta

3

Se accede a las cookies y al almacenamiento local a través de las API de JavaScript. Cuando el atacante puede inyectar JavaScript en el documento html del objetivo, puede leerlos y escribirlos por igual.

Un comentario menciona cookies de solo http. Pero a las aplicaciones de JavaScript del lado del cliente no se puede acceder en absoluto, por lo que no compiten con localstorage en la mayoría de los escenarios.

Pero una cosa que debe tener en cuenta es que no existe tal cosa como una cookie solo para javascript . Cuando almacena información confidencial en una cookie, esa información se enviará al servidor con cada solicitud. Cuando no use https, se enviará sin cifrar. Sin embargo, esto no tiene nada que ver con las inyecciones de XSS.

    
respondido por el Philipp 01.09.2017 - 11:56
fuente

Lea otras preguntas en las etiquetas