OpenID Connect 登录后如何在 Vue 中安全存储 ID Token?
我用 OpenID Connect 接入了公司的统一认证,登录成功后拿到了 ID Token,但不确定该存 localStorage 还是 sessionStorage,听说都有安全风险?
现在我是这样存的,但担心被 XSS 攻击偷走:
<script setup>
import { useAuthStore } from '@/stores/auth'
const handleLoginSuccess = (response) => {
const { id_token } = response
// 直接存 localStorage,是不是太危险了?
localStorage.setItem('id_token', id_token)
useAuthStore().setToken(id_token)
}
</script>- 1
回答
20浏览
前端用OAuth2.0登录时,如何安全地处理access_token?
我正在用Vue做第三方登录,后端用的是OAuth2.0授权码模式。现在的问题是,拿到access_token之后,不知道该存在localStorage还是cookie里,听说都有安全风险。而且我试过把...
- 2
回答
63浏览
Vue+UniApp开发时,组件在iOS和Android显示差异如何解决?
我在用Vue3+UniApp做跨端项目时遇到个难题,首页的按钮在iOS真机上底部文字被截断,但Android模拟器显示正常。已经试过用条件编译v-if="isiOS"调整padding,也加了view...
- 1
回答
37浏览
Vuelidate 表单验证后错误信息不更新是怎么回事?
我用 Vuelidate 做表单验证,输入框失去焦点时会触发验证,但修改内容后错误提示没消失,明明值已经合法了。试过调用 $touch() 和 $reset() 都不行。 这是我的验证规则代码: co...
- 2
回答
33浏览
Vue按钮点击后FID飙升,怎么优化都没用?
大家好,我在做一个Vue项目,有个按钮点击后FID指标突然飙升到几百毫秒,用户抱怨操作有延迟。我尝试给事件加了防抖和把计算逻辑抽离到watch里,但效果不大: 处理数据 export default ...
- 1
回答
21浏览
Vue项目中如何防止Cookie被劫持导致会话劫持?
我在用Vue做登录功能时发现,用js-cookie保存token的Cookie没设置HttpOnly,这样会不会容易被XSS攻击导致Session劫持? // 登录成功后设置Cookie的代码 met...
- 1
回答
6浏览
Jira中如何在Vue组件里动态设置Issue的父任务字段?
我在用Vue对接Jira API创建子任务时,想动态指定父任务ID,但一直报错说parent字段无效。明明文档里说要用issueKey或id,可我传了还是不行。 试过把parent写成对象,也试过只传...
- 1
回答
40浏览
Hybrid App 中如何管理不同平台的 JSBundle 版本?
我们用 Vue 做了一个 Hybrid 应用,原生端通过 WebView 加载本地打包好的 JSBundle。但每次发版 iOS 和 Android 的 bundle 路径或版本号不一致,导致线上用户...
- 2
回答
34浏览
Vue表单中如何用自定义验证确保GDPR同意框被勾选后才提交?
我在做一个用户注册表单,需要用户勾选隐私政策同意框才能提交。用了vuelidate做验证,但发现即使没勾选也能提交,代码哪里出错了? <template> <form @submit...
- 2
回答
48浏览
Vue项目CSRF防护时验证请求头总失败怎么办?
我在Vue项目里用axios发请求时设置了X-CSRF-Token头,但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了,代码是这样的: <script> ...
- 0
回答
3浏览
灰盒测试时如何验证Vue组件中的API调用是否安全?
我在做灰盒测试,手上有部分源码和访问权限,但不确定该怎么检查Vue组件里调用的后端接口有没有安全风险。比如下面这个组件直接把用户输入拼接到URL里发请求,会不会有漏洞? <template>...
但 sessionStorage 依然防不住 XSS。真正安全的做法是后端用 HttpOnly Cookie 存 token,前端根本不碰 token,只通过 Cookie 自动认证。