שאלה | במערכת מבוססת Token (למשל JWT), מה מהבאים הוא הדרך הבטוחה והנכונה ביותר לאחסן את ה־Token בצד הלקוח?

במערכת מבוססת Token (למשל JWT), מה מהבאים הוא הדרך הבטוחה והנכונה ביותר לאחסן את ה־Token בצד הלקוח?

שאלה #183040

		ב־localStorage, כדי שהטוקן יהיה נגיש בקלות מכל מקום בקוד.
		במשתנה גלובלי (window.token) כדי שיהיה קל לשלוף אותו בזמן אמת.
		בתוך Cookie רגיל, ללא הגדרות מיוחדות, כדי שיהיה זמין ל־JavaScript.
		ב־Cookie עם הדגלים HttpOnly ו־Secure, כדי למנוע גישה מה־JavaScript והגנה ב־HTTPS.

שאלות ממבחנים - 2023 - טוקן כמו JWT הוא מידע רגיש – אם תוקף יוכל לגנוב אותו (למשל דרך XSS), הוא יוכל להתחזות למשתמש. שמירת הטוקן ב־HttpOnly Cookie מונעת גישה אליו מ־JavaScript (ולכן מגינה מ־XSS). הדגל Secure מבטיח שהקוקי יישלח רק דרך HTTPS (מגן מ־MITM).