网站使用 localStorage 存储 token，有可能被跨域攻击吗？

你这个概念太大了，你这个就等于在问，IPV6 有多少 Ip 一样的。

localstorage 没有过期时间不是作死吗

没风险，放心用

@SEARCHINGFREE 服务器有过期时间怕啥
不过还是没有 cookie 安全，因为可以被 js 随便读

一楼的这种比喻有道理吗？我觉得这种问题描述的还是比较清楚的，可能我也会这么问……

用 httponly 的 cookie 简单点吧

@undeflife #2 和楼主头像一样？

楼主问题答案是可能：假设网站存在 XSS 漏洞，可以执行用户脚本，那么 token 就可以被用户获取和使用。

容易被 xss

storage 可以被 js 拿到，如果网站有 XSS 漏洞就有可能。

@luoway 我引用的答案就是回答了这一问题。存在 xss 漏洞时，localStorage 会暴露，只不过是结合 jwt 和 csrf 说明的。

头像是 V2EX 提供随机头像之前的默认头像，站长提供了图片给偏偏喜欢默认头像的人使用...

@undeflife 我前端适用 angular 开发，是不是理论上就不会有 XSS 风险？

@coloz 你是指 Angular 里的 SCE ？细节不太了解，不过我认为框架也没法避免不动脑子的作死，不是用了框架了一劳永逸了。