Sind API-Tokens in einem Flux (Redux) Store sicher?

Question

Wäre es sicher, ein API-Token zu speichern, das von einem Authentifizierungsaufruf in einem Flux (speziell Redux) -Laden zurückgegeben wurde? Ich habe Webpack verwendet, um alle Assets im Projekt zu kompilieren, was meiner Meinung nach bedeutet, dass der Speicher außerhalb der Reichweite von Skripts von Drittanbietern liegt, die das Geschäft lesen und das Token extrahieren möchten.

Und, was es wert ist, wird das Token über HTTPS in einem Authorization: bearer ... Header gesendet.

Answer 1

Wenn nicht vertrauenswürdige Skripts von Drittanbietern auf der Seite ausgeführt werden, sollten Sie davon ausgehen, dass nichts sicher ist, da die gesamte Integrität der Seite gefährdet ist.

Wenn nur vertrauenswürdige Skripts ausgeführt werden, können Sie davon ausgehen, dass Ihr Token sicher ist, abhängig von der Sicherheit des Browsers und davon, wie sicher Ihre Site gegen XSS-Angriffe ist.

EDIT:

Um zu klären, ist diese Sicherheit von 3rd-Party-Skripten. Wenn Sie versuchen, Ihr Token vor dem Benutzer selbst zu verbergen, lautet die Antwort, dass es immer unsicher ist, egal wie sehr Sie Ihren Code verschleiern, denn wenn der Computer des Benutzers darauf Zugriff hat, kann der Benutzer letztendlich darauf zugreifen (Sie können es schwieriger machen, aber nicht unmöglich).