Cookie или localStorage?

Question

[WebDev]

Распространенная реализация авторизации в SPA выглядит так:

axios.post('auth', authData)
    .then(res => {
        token = res.data;
    });

localStorage.setItem('token', token);

axios.defaults.headers.common['token'] = token;

Во всяком случае во многих туториалах она выглядит примерно так.
Вчера смотрел курс Ильи Кантора по авторизации в WebSocket, где он рассматривал передачу session_id на сервер через вебсокеты. Авторизация в проекте была сделана на куках и стояла задача передать sid из куки в ws соединение.
Первый возможный вариант, на который указал Кантор - это убрать с кук флаг httpOnly и получить к ним доступ из js.
Но тут же оговорился, что так небезопасно делать, из-за xss.
Но ведь sid в localStorage это то же самое, что и sid в куках без httpOnly. Я имею ввиду доступность этих данных.
Так можно ли делать авторизацию способом из туториалов с сохранением sid в localStorage?

Comments

[Максим Тимофеев]

Так можно ли делать авторизацию способом из туториалов с сохранением sid в localStorage?

Ну так куки это же не хранилище, это способ передачи данных в данном случае. Как хранилище лучше localStorage, но Вам то sid надо в каждом запросе. Так что передавать Вы его все равно будете как-то. А следовательно именно для хранения sid куки лучший вариант.

[Талян]

LocalStorage же доступен только после отправки хеадеров, например из JS, а куки - раньше.

Наверное этот факт должен ответить на ваш вопрос.

[WebDev]

Анатолий Цивилёв, А какое это имеет отношение к вопросу? У меня сайт SPA на VueJs, зачем мне тот факт, что куки устанавливаются раньше, если все запросы пойдут после загрузки приложения в браузер.

[WebDev]

Максим Тимофеев, Ну почему куки - это не хранилище? Мне нужно в каждом запросе передавать идентификатор, а при перезагрузке страниц его где-то хранить. Куки отлично подходят и как хранилище и как способ передачи на сервер.
Вопрос то в другом: данные в куках защищены от XSS, а в localStorage нет. Так почему его используют?

[Талян]

WebDev, в локалстораге можно хранить объект, а в куках - только строки.

А отношение мой ответ имеет к вашему вопросу точно такое же, как и отсутствие необходимых тегов у вашего вопроса. Я например могу расшифровать аббревиатуру SPA , как SPA-салон.

Не думайте, что если вы знаете, как расшифровывается аббревиатура, то и весь остальной мир тоже знает.

[WebDev]

Анатолий Цивилёв, На специализированном ресурсе, пользователи думают, что SPA - это SPA-салон? Серьезно?

[Талян]

WebDev, ну я утрирую. Просто лично я не знал, что вы имеете ввиду одностраничное приложение. В вашем случае наверное лучше исходить из типа хранимых данных. Как я уже сказал выше - объект без сериализации в куки вы не сунете. А сериализация - лишнее действие.

[alex-1917]

Анатолий Цивилёв, вот-вот!
я вообще читаю только заголовок+теги, тем более если вопрос от начинашки, там иной раз такого бреда в этой своей лапше пишут,что ай-ай и ой-ой.

[Талян]

alex-1917, моя мясная нейронная сеть не смогла понять - сарказм это был, или нет:)

[Stalker_RED]

Анатолий Цивилёв, я вам по секрету скажу: в localStorage тоже строки)

И придется делать десериализацию.

Answer 1

[Артём Иннокентьев]

Тут нет оптимального варианта - надо смотреть на бэкэнд и фронтенд совокупно.
Далее, считаем что фронтенд SPA, бэкэнд чистое API.

Если выбор за Cookies:

1. На сервере необходимо реализовать защиту от CSRF
   
2. На фронте также надо будет реализовать обвязку под передачу CSRF-токена
   
3. Вся авторизация будет обрабатываться бэкэндом - т.е. он ставит куку через Set-Cookie с httpOnly и secure и сам же читает из куки для аутентификации / авторизации
   
4. Фронтенд не имеет доступа к кукам - не думает об авторизации и об XSS
   
5. Обычно, XSS используют чтобы украсть авторизационный токен через JS - если авторизационная кука httpOnly - нет доступа к кукам через JS, нет проблем
   

Если выбор за localStorage:

1. Не надо делать CSRF защиту на сервере - нет кук, нет проблем
   
2. Экранировать потенциально опасные данные бэкэндом на входе - обеспечит дополнительную защиту от XSS при рендере данных
   
3. Надо делать защиту от XSS на фронте, т.е. экранирование данных при рендере - чтобы потенциально вредоносный JS код превращался в строку, а не вставлялся в DOM
   
4. На фронте надо сделать обвязку под сохранение / передачу / валидацию токена
   
5. Всегда остается человеческий фактор - забыли сделать экранирование при рендере на фронте, JS код имеет доступ к токену и он утек
   

Могу посоветовать использовать фреймворки, как на бэкэ, так и на фронте - они обычно имеют уже реализованную защиту от основных типов атак. Мы на проекте юзаем localStorage и React, ну и верим в лучшее :)

Comments

[WebDev]

Большое спасибо за развернутый ответ!

[Владимир Скибин]

Артём Иннокентьев, Остается только продумать технологию авторизации для websocket для каждого из вариантов и тогда будет совсем развернутый ответ.

[sim3x]

1

Не надо делать CSRF защиту на сервере - нет кук, нет проблем

? Кука один из механизмов защиты от csrf, а не проблема

2

Надо делать защиту от XSS на фронте, т.е. экранирование данных при рендере - чтобы потенциально вредоносный JS код превращался в строку, а не вставлялся в DOM

если на беке нет фильтрации, то вопрос обхода "санитайзера на фронте" вопрос времени

[Даша Циклаури]

еще в пользу кук добавь если нужен серверный рендеринг

[Артём Иннокентьев]

1. sim3x, авторизационные данные лежат в localStorage сайта foo.com - с сайта bar.com нельзя получить данные localStorage сайта foo.com. не вижу смысла делать CSRF-атаку, если нельзя вынудить пользователя послать авторизационные данные.

2. в целом, это вопрос реализации.

[Andrew Lewman]

5. Всегда остается человеческий фактор - забыли сделать экранирование при рендере на фронте, JS код имеет доступ к токену и он утек

можно подробней? Какое экранирование при каком рендере))? JS код же всегда имеет доступ к localStorage?

[WebDev]

Andrew Lewman, Если пользователь на вашем сайте в поле "комментарий" вставит js код, этот код не должен быть выполнен. Для этого вывод всех комментариев должен быть экранирован.

[sim3x]

Артём Иннокентьев,
1. https://www.owasp.org/index.php/Cross-Site_Request...

2. Нет

[WebDev]

sim3x, Поясните, пожалуйста, фразу

если на беке нет фильтрации, то вопрос обхода "санитайзера на фронте" вопрос времени

. Я часто вижу, как в дискуссиях касательно безопасности приводится аргумент "обход вашей фильтрации - это дело времени". Как это понимать? Если у меня экранируются, например ВСЕ спецсимволы, то злоумышленник не сможет разместить тег, а если он не сможет разместить тег, то как он внедрит зловредный код? Покажите пример, если можно.

[sim3x]

WebDev,

ВСЕ спецсимволы

во времена юникода и не всегда корректной обработки не существует

[WebDev]

sim3x, Можно пример? Если символы "<" и ">" экранируются, то я не могу вставить html элемент, верно? Я же не могу заменить эти скобки кодами юникода?

[sim3x]

WebDev, https://www.google.com.ua/search?q=cve+htmlspecialcahrs

[Andrew Lewman]

WebDev, :D затупил

Answer 2

[Stalker_RED]

Храните где хотите.

Если передача данных идет по http, и сервер должен как-то отличать одного пользователя от другого (аутентификация нужна), то придется передавать хоть какой-то идентификатор. В url, в каком-то поле post-запроса, или в куках.
Обычно все делают в куках, это удобнее.

Если передача данных не http-запросами, то можете использовать какой-то другой способ аутентификации.

Comments

[WebDev]

Я понимаю. Речь о том, дыра это или просто гипотетическая уязвимость. Вот передача в url - это ведь совсем дыра. Любой узел, через который пройдет такой запрос, сможет получить идентификатор из url. Если же я передаю данные в заголовках или теле запроса, то они зашифрованы (https).
То же самое с хранением. Если идентификатор хранится в куке (httpOnly), то это скрывает его от XSS, а если в localStorage - то нет.

[Stalker_RED]

WebDev, если https, то "любой узел" не увидит url
но да, это дыра.
Но еще 10 лет назад такое могли выкатить в прод даже сравнительно крупные проекты:)

Answer 3

[alex-1917]

Comments

[WebDev]

Поясните, пожалуйста на примере.

[alex-1917]

WebDev,
кусок из опенкарт:

if ($.totalStorage != undefined && $.totalStorage('display') != null) {
        $cookie = $.totalStorage;
} else if ($.cookie != undefined && $.cookie('display') != null) {
        $cookie = $.cookie;
}

$.totalStorage изначально формируется в еще одном файле, ну а далее параметр display используется в шаблонах списков товаров (сиречь категория, результаты поиска и т.д.)- отображение товаров сеткой или списком.
Т.е. имеем универсальную функцию - если куки запрещены, юзается локалсторадж и наверное наоборот)))) Хотя чтобы был запрещен локалсторадж, это надо найти еще такого гика с таким мохнатым браузером....

[profesor08]

alex-1917,
Во первых, размер кук ограничен, и хранить все там не сможешь. Во вторых localStorage не доступен в safari в инкогнито, значит надо как-то это обрабатывать.

[alex-1917]

profesor08, автор вроде хочет какие-то токены, не?
И пусть тогда теги ставит хотя бы два, тут стесняться ни к чему, я редко вчитываюсь в лапшу, читаю только заголовок+теги - всё!
)))

Answer 4

[Kir ---]

Делаем запрос на специальный URL в которой указан csrf токен, получаем токен для разового коннекта по websocket.
Формируем url для websocket с этим токеном в пути и подключаемся.