问题描述
例如,如果我编写了一个react函数,当输入字段发生变化时将密码状态更新为密码输入值,这样做有危险吗?
解决方法
没问题,因为它不会持续存在。
状态存储是一种常见的做法,
我见过amplify-js sign in code,他们使用一种状态来存储密码。这是用于 Amazon Cognito 的库。
存储在本地存储中确实很危险。
绝不建议使用本地存储来存储会话标识符,因为JavaScript始终可以访问该数据。
如果您使用的是Mobile或Vue / React.js,请使用Cookie来使用httpOnly标志来减轻这种风险,或者将令牌存储用于提取呼叫
一次XSS(跨站点脚本)攻击将能够窃取这些对象中的所有数据和/或加载恶意信息,因此请不要认为“本地存储”是受信任的,并且会话标识符/哈希密码。
https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html#Local_Storage
还要遍历其余部分,所以您Cheatsheet.
它将回答大多数常见查询。
,没有问题,但是国家必须没有公共访问权限。