¿Está bien almacenar ID de sesión en localStorage?

¿Es seguro almacenar el ID de sesión del usuario en localStorage? En w3.org site, dicen¿Está bien almacenar ID de sesión en localStorage?

Los agentes de usuario deben plantear una excepción SECURITY_ERR cuando cualquiera de los miembros de un objeto Almacenamiento devuelto originalmente por el atributo localStorage se accede por los scripts cuyos efectivos guión origen no es el mismo que el origen del documento del objeto Window en el que se accedió al atributo localStorage.

¿Significa esto que localStorage podría utilizarse para datos confidenciales?

Fuente

2011-09-29 dev.e.loper

Creo que depende de lo que quieras decir con sensibilidad. Se almacenará en texto sin formato y será accesible a través de las funciones de depuración del navegador. –

Lo que no es diferente de una cookie –

¿Estás seguro de que quieres guardarlo en 'localStorage' y no en' sessionStorage'? –

Depende de lo que quiere decir con "¿es seguro?"

localStorage es tan seguro como una cookie sin restricción de ruta. Desde las páginas web, solo se puede acceder por páginas del mismo dominio. Miles de millones de sitios almacenan identificadores de sesión en cookies que tienen aproximadamente las mismas restricciones de seguridad que localStorage.

Fuera de las páginas web, ni localStorage ni cookies están seguros del acceso por parte de otros programas o incluso herramientas de depuración web que se ejecutan en la misma computadora.

Fuente

2011-09-30 00:02:15 jfriend00

httpOnly cookies proporcionan una capa de defensa XSS que localStorage no proporciona:

httpOnly cookies no son accesibles desde [potencialmente malicioso] JS.
localStoragees accesible desde JS.

Los ID de sesión deben almacenarse en httpOnlysecure cookies.

Fuente

2014-09-01 13:50:03 Tom

¿Está bien almacenar ID de sesión en localStorage?

Respuesta

Cuestiones relacionadas