大部分项目一开始都是这样写的,把 token 往 localStorage 一扔就完事了: 用起来确实方便,但有个致命问题:XSS 攻击可以直接读取。 localStorage 对 JavaScript 完全开放。只要页面有一个 XSS 漏洞,攻击者就能一行代码偷走 token: 你可能会想:"我的代码没有 XSS 漏洞。
window.createPlugin({ label : '插件中文名', name : '英文名', id : 0 el_id : 'plugin_name' default_boot : true, boot : false, run(controller){ /* do something ...
一些您可能无法访问的结果已被隐去。
显示无法访问的结果