您的位置: 首页  >  技术问答  >  HTML5 localStorage安全

HTML5 localStorage安全

分类: 技术问答 2022-04-15 19:43:17

HTML5 localStorage安全

问题描述:

将localStorage用于敏感数据(假设当前的HTML5实现)会是好的还是坏主意?HTML5 localStorage安全

我可以使用哪些方法来保护数据,使其无法被客户端计算机访问的人读取?

+0

我发布了[类似的问题的答案](http://*.com/a/24677597/19212),可能也是照亮。 – 2014-07-10 13:25:00

坏主意。

  1. 有人可以访问机器总是能够读取localStorage,没有什么可以做,以防止它。只需在firebug控制台中键入'localStorage',就可以获得所有键/值对的良好列表。
  2. 如果您的应用程序中存在XSS漏洞,攻击者可以使用存储在localStorage中的任何内容。
  3. 你可以尝试加密它,但有一个问题。在客户端上加密它是可能的,但意味着用户必须提供密码,你必须依赖未经过充分测试的加密算法的JavaScript实现。
  4. 当然可以在服务器端进行加密,但客户端代码无法读取或更新它,因此您已将localStorage减少为一个美化的cookie。

如果需要安全,最好不要发送给客户端。不受你控制的东西永远不会安全。

+3

我会再来。糟糕的做法。 https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Local_Storage_.28a.ka_Offline_Storage.2C_Web_Storage.29 – 2011-11-02 12:41:06

+7

但是,最好的一点是,来自域的脚本可以读取由该域设置的'localStorage' **只有** – 2013-03-04 16:49:43

公共密钥密码学可用于防止任何类型的入侵。另外,可以使用数据完整性检查(例如CRC或散列)来确保服务器验证数据。

+4

编号PKI对每个案例都没有帮助。而且,如果攻击者可以更改内容,他们也可以轻松更改散列。尽管如此,哈希可以帮助检测无意的变化(“腐败”)。 – Olli 2013-09-30 08:52:57

相关推荐