提到安全，你需要知道你的对手是谁，你防范的是怎样的情况。

localStrorage 存 token 然后手动带上，不如放 cookie。

如果是敏感信息，你在防谁呢？

要么你在防用户。那么你不把数据传给用户就行了嘛。如果你只是想提高对抗的成本的话，也可以 AES 什么一下。

要么你在防木马，或者传闻扫用户硬盘的流氓软件。这个也是防不胜防，只能是提高成本。如果对方是有针对性地，你只要把数据传过来了，怎么都是没用的。否则你 base64 一下也许足够了。

敏感信息就不应该放到本地存储，如果是token放到cookie就行了，何必放到下本地存储呢。而且还不一定兼容老的浏览器。

不敏感的话可以,敏感的话还是加个密吧

local storage是明文存储，最好加密

localStrorage 补充一点，你还得考虑用户设置的隐私模式，隐私模式下localStrorage不可用

说个题外话，没有“h5”这种东西，只有 HTML5。而且中文和英文中间必须有半角空格！不好意思，隔壁片场的溜达过来的。