問題描述

后臺系統，用h5本地存儲將用戶token存儲下，每次請求帶上token，這樣安全嗎？

問題解答

提到安全，你需要知道你的對手是誰，你防范的是怎樣的情況。

localStrorage 存 token 然后手動帶上，不如放 cookie。

如果是敏感信息，你在防誰呢？

要么你在防用戶。那么你不把數據傳給用戶就行了嘛。如果你只是想提高對抗的成本的話，也可以 AES 什么一下。

要么你在防木馬，或者傳聞掃用戶硬盤的流氓軟件。這個也是防不勝防，只能是提高成本。如果對方是有針對性地，你只要把數據傳過來了，怎么都是沒用的。否則你 base64 一下也許足夠了。

敏感信息就不應該放到本地存儲，如果是token放到cookie就行了，何必放到下本地存儲呢。而且還不一定兼容老的瀏覽器。

不敏感的話可以,敏感的話還是加個密吧

local storage是明文存儲，最好加密

localStrorage 補充一點，你還得考慮用戶設置的隱私模式，隱私模式下localStrorage不可用

說個題外話，沒有“h5”這種東西，只有 HTML5。而且中文和英文中間必須有半角空格！不好意思，隔壁片場的溜達過來的。