اسیب پذیر بودن سیستم auth

سلام استاد بهتر نیست برای auth ما سیستم رو به صورت accessToken , refreshtoken یا اینکه از session استفاده کنیم برای این مورد من فکر میکنم که ذخیره کردن توکن توی localStorage برای حملات xss سیستم رو اسیب پذیر میکنه همچنین من فکر میکنم توی next ما این قابلیت رو خیلی بهتر بتونیم پیاده کنیم

سلام خدمت شما. البته اینجا هدف به صورت آموزشی بوده و بسته به کیس میشه راه‌های دیگه ای رو هم پیاده سازی کرد. در مورد XSS هم باید بگم اگر این اتفاق بیفته واقعا فرقی نمیکنه چه داده‌ها در سمت مرورگر ذخیره شده باشه به جز کوکی‌های http only .

بهترین پاسخ

کیوان علی محمدی ۰۳ تیر ۱۴۰۰، ۱۱:۴۴