CookieとHTML5のlocalStorage
HTML5では、localStorageを使用して、クライアント側でデータを永続的に保持できます。非セキュリティの観点から見るとより良いようです(Cookieのような5MBの制限ではなく、簡単にアクセスできます)。
https://www.w3schools.com/html/html5_webstorage.asp
セキュリティの観点から、XSS攻撃に対してより安全な方法はどれですか? localStorageまたはcookie?
Cookieとlocalstorageの両方にJavaScript APIを介してアクセスします。攻撃者がJavaScriptをターゲットのhtmlドキュメントに挿入できる場合、攻撃者はそれらを均等に読み書きできます。
コメントにhttpのみのcookieが記載されています。ただし、これらはクライアント側のJavaScriptアプリケーションからはまったくアクセスできないため、ほとんどのシナリオでlocalstorageと競合しません。
しかし、覚えておかなければならないことの1つは、 javascriptのみのcookieのようなものはありません です。機密情報をCookieに保存すると、その情報はリクエストごとにサーバーに送信されます。 httpsを使用しない場合は、暗号化されずに送信されます。ただし、これはXSSインジェクションとは関係ありません。