которые можно записать с фронта, ровно настолько же небезопасны - их все так же можно прочитать. Если у них httpOnly, то с фронта их прочесть нельзя. Следовательно и сравнивать со стораджем тоже нельзя, т.к. сторадж с бэка нельзя записать.
2) Куки - это тоже строка. Причем даже короче, чем у стораджа.
3) IndexedDB или WebSql - они безопасны ровно столько же, сколько и локалсторадж. Их так же можно прочесть из любого скрипта. Их плюсы в другой предметной области.
Про токены жвт вообще ересь. Ну вот украл я токен, что мне с ним делать? Я что, знаю чем его кодировали? Плюс он протухнет спустя строго обозначенное время, через минут 30-час как правило. Да и не хранят их в сторадже, как написали там в комментах. В общем дурь, а не статья. Путают теплое с мягким и выдают это за некое откровение.
я по сути выше это и сказал
Обсуждают сегодня