whoami Blog

@whoami_5dba847482280

Nicknamewhoami

Following6

Followers0

RSS

Feed

Stories (2)

Messages

Friends Followed Me

Profile

Settings

Stories

List

08:35 AM · Nov 05 ,2025

CSRF和XSS

CSRF-Cross-Site Request Forgery，跨站請求偽造典型場景用户登錄了A網站，A網站通過寫入cookie識別用户身份信息，在未退出A網站的情況下，用户打開了不受信任的B網站，B網站通過瀏覽器向A網站發送了執行敏感操作的請求，並且帶上了cookie，A網站服務端看到cookie信任了該請求，從而導致用户在不知情的情況下執行了敏感操作。解法在向A網站發起請求時（如表

csrf , xss , 安全漏洞

02:33 AM · Oct 27 ,2025

JWT存在cookie還是localstorage?

建議存放在Cookie。 JWT存放在localstorage 為了應對XSS攻擊，我們通常需要對用户輸入進行過濾或者轉義編碼，避免攻擊者輸入有害的腳本。然而現代web應用出於一些特定的目的（例如cdn）經常會插入外部的腳本，這些腳本可能遭到破壞。而localstorage沒有類似cookie http-only的手段無法阻止js直接訪問數據，XSS攻擊的威脅較大。同樣，

Jwt , cookie , localstorage

@whoami_5dba847482280

Tags

xss (25)

cookie (24)

Jwt (22)

csrf (18)

localstorage (14)

安全漏洞 (11)

Stories

CSRF和XSS

JWT存在cookie還是localstorage?