我正在阅读有关 JWT 的信息,但我对似乎没有解决的问题感到非常困惑:
是什么阻止了恶意网站仅包含
localStorage.get ('secretjwt')
在他们的代码中并窃取您的代币?
如果您不将其存储为 cookie,那么任何人都可以访问它!如果它存储为cookie,那么为什么不完全使用cookie呢?
Cookie 和 localStorage 受同源策略保护
在计算中,同源策略是 Web 应用程序安全模型中的一个重要概念。根据该策略,Web 浏览器允许第一个网页中包含的脚本访问第二个网页中的数据,但前提是两个网页具有相同的来源。
例如,http://www.malicious.com 或 http://www.example.com 无法访问 https://www.example.com 中的存储
此外,站点应使用 SSL/TLS 来加密内容并防止令牌被盗