如题所示:因为前后端分离的项目,所以用jwt做token来保存用户信息。token放在localstorage中容易被XSS攻击,所以就想到用httpOnly的cookie保存token信息。但是前后端跨域,后端set-cookie 没有任何效果。目前就卡在这里了,希望大佬能帮忙解决一下
1 回答
交互式爱情
TA贡献1712条经验 获得超3个赞
一,前后端分离不应该是跨域的,如果跨域,api的请求也会出问题,所以,后端应该先设置下允许的域名。
二,其实存在localStorage中和存在cookie中一样容易被XSS攻击啊,所以一般用户信息不要暴露太敏感的信息,我们是在返回头中获取jwt,然后前端获取返回头中的token,前端控制放到cookie或者放到localStorage中,后端一般不要去控制前端的东西。
添加回答
举报
0/150
提交
取消