我有一个使用刷新和访问令牌进行身份验证的网站。刷新令牌是使用来自后端的 node.js 发送的。
res.cookie("jwt", refreshToken, {
sameSite: "none",
httpOnly: true,
secure: true,
maxAge: 24 * 60 * 60 * 1000,
});
这适用于 chrome 但不适用于 safari,我知道我可以取消选中“防止跨站点跟踪”,但大多数人都会启用此功能(我知道如果您将后端和前端托管在同一个不同的子域上域已解决)
我只是想知道是否还有其他解决方案。我不想将它保存在本地存储中,因为可以通过 javascript 访问它,因此安全性较低。那么解决这个问题的正确方法是什么?