大部分项目一开始都是这样写的，把 token 往 localStorage 一扔就完事了： 用起来确实方便，但有个致命问题：XSS 攻击可以直接读取。 localStorage 对 JavaScript 完全开放。只要页面有一个 XSS 漏洞，攻击者就能一行代码偷走 token： 你可能会想："我的代码没有 XSS 漏洞。

Front-End part of DJ Events with Nextjs Backend used for storing jwt token in httpOnly cookie which is used to make authenticated request to strapi backend.

I was thinking about improving security when making use of the cookie store and was wondering if we could make use of HttpOnly cookies when using ember-simple-auth, and it seems that it actually is ...

在Web应用中，Cookie很容易成为安全问题的一部分。从以往的经验来看，对Cookie在开发过程中的使用，很多开发团队并没有形成共识或者一定的规范，这也使得很多应用中的Cookie成为潜在的易受攻击点。 在Web应用中，Cookie很容易成为安全问题的一部分。从以往的 ...

在cookie的名或值中不能使用分号(;)、逗号(,)、等号(=)以及空格。在cookie的名中做到这点很容易，但要保存的值是不确定的。如何来存 储这些值呢?方法是用escape()函数进行编码，它能将一些特殊符号使用十六进制表示，例如空格将会编码为“20%”，从而可以存储于 ...