单页应用-安全性

Question

我正在使用angular开发一个单页面预订应用程序，它与我的REST API交互。

我在应用程序中定义了各种路由，并且在用户填写信息时使用本地存储来存储每个页面的状态。一旦用户填写了所有内容，我将其发布到我的API，生成哈希，并在返回结果页面之前将它们重定向到支付网关。使用本地存储的原因是，我们可以持久化用户填写的详细信息，即使他们关闭并重新打开页面。

不过，我不应该将用户名和地址等敏感信息存储在本地存储中，因为这会使我容易受到跨站点脚本攻击的影响。

将这些信息存储在服务器上会破坏REST API的无状态原则。

对于如何最好地构建我的应用程序，有什么建议吗？

Answer 1

编辑:下面的内容不正确。Cookie和本地存储都是域受限的。本地存储的主要弱点是，它可以被本地用户和程序不加区别地访问和修改，并且将本地存储的内容视为可信的输入，这为恶意的DOM XSS和存储的XSS攻击打开了大门。

一种选择是使用to use cookies来存储用户信息。您可以为每个字段设置一个cookie，在用户填写字段时设置cookie，并在用户加载页面时读取cookie以填充字段。