前端开发者必看！Token 存储选 Web Storage 还是其他？安全考量大揭秘

作者：佚名时间：2025-11-10 17:43

字号

身为被称作“CQITer”的小编，我察觉到Token存放这一关乎前端开发者对安全重视程度不同的看似简易的问题。今日我们着手探讨怎样规避低阶错误，切实靠谱地确保用户数据安全。

Token存储安全基础

Web前端Token存储所要考虑的关键要点涵盖存放位置以及访问方式，存放位置存在差异会直接对安全性以及攻击面产生影响的情形，访问方式能够起到决定怎样去降低泄露风险的作用。

当进行存储位置的选择之际，开发者理所当然得将XSS攻击的存在可能性予以考量。常见的存储手段涵盖了localStorage，sessionStorage，Cookie以及内存变量。

// 登录成功后
const token = 'your_jwt_token_here';
localStorage.setItem('auth_token', token);
// 后续请求时带上
axios.interceptors.request.use((config) => {
  const token = localStorage.getItem('auth_token');
  if (token) {
    config.headers.Authorization = `Bearer ${token}`;
  }
  return config;
});

localStorage的风险

localStorage具备持久化存储的能力，然而却有着严重的安全隐患，因为数据会长期被保存，并且是能够通过JavaScript直接进行访问的，所以很容易成为XSS攻击的目标。

// 服务端设置 Cookie (HTTP Response Header)
Set-Cookie: auth_token=your_jwt_token_here; Path=/; HttpOnly; Secure
// 前端无需特殊处理，浏览器会自动在每次请求中携带

攻击者要是一旦获取到XSS漏洞，那么就能够轻易地窃取localStorage里的Token。所以，鉴于此情况，对于敏感应用而言，是不推荐去使用这种存储方式的。

Cookie存储方案

let inMemoryToken = null;
// 登录成功后
const login = async () => {
  const response = await loginAPI(username, password);
  inMemoryToken = response.data.token; // 存到内存变量
};
// 请求拦截器中添加
axios.interceptors.request.use((config) => {
  if (inMemoryToken) {
    config.headers.Authorization = `Bearer ${inMemoryToken}`;
  }
  return config;
});
// 退出登录或页面刷新时，Token 消失