我想我了解令牌和会话ID之间的区别。
但是在我看来,这是一个主要的安全问题,因此我可能误解了一些东西:
如果某人偷了我的令牌或会话ID,那么他可以假装成我,对吗?某些XSS攻击或我朋友计算机上的某些F12足以查看信息,对吧?
是。这就是为什么您不会无人照管设备来照顾F12部件的原因。
XSS无法窃取httpOnly Cookie。
httpOnly
我在以下两个答案中涵盖了这些问题。
https://stackoverflow.com/a/54258744/1235935
https://stackoverflow.com/a/59464645/1235935