Session ID 和 Token(通常指 JWT - JSON Web Token)是两种最常见的身份验证机制。它们在存储和传输上的安全性差异主要源于它们的设计理念:Session ID 是“引用”(Reference),而 Token 是“值”(Value)。 以下是两者在存储和传输安全性方面的详细对比: --- 1. 存储安全性 (Storage Security) 客户端存储 (Client-Side) Session ID: 通常存储位置: Cookie。 安全性优势: 可以设置 属性。这意味着 JavaScript 无法读取 Cookie,从而有效防止 XSS(跨站脚本攻击) 窃取 Session ID。 风险: 如果没有设置 属性或 CSRF Token,容易受到 CSRF(跨站请求伪造) 攻击,因为浏览器会自动携带 Cookie 发送请求。 Token (JWT): 通常存储位置: LocalStorage / SessionStorage 或 Cookie。 LocalStorage 风险: 极其容易受到 XSS 攻击。一旦网站存在 XSS 漏洞,攻击者可以通...
播面