我正在设计一个身份验证系统,将一些散列字符串作为“令牌”存储在客户端机器上
localStorage['tokens'] = [username, string1, string2, .... ]
并且还将这些标记与数据库表中的一行相关联
____________________________________
| Table: current_user_sessions |
------------------------------------
| username | token1 | token2 | ... |
因此,每当用户尝试完成某个操作时,客户端计算机都会查询数据库,询问具有匹配令牌和用户名的行,以验证用户是否登录到有效会话中。
我将这些令牌作为变量发送到检查以确保会话有效的 php 页面。
$tokens = $_GET['tokens']
$session_is_valid = query_that_checks_db_for_tokens($tokens)
return $session_is_valid
某人是否有可能通过 XSS 攻击访问另一个用户的 localStorage,这是保持用户会话安全的不安全方式吗?