HTML5 localStorage安全性
将localStorage用于敏感数据(假定当前的HTML5实现)是好的还是坏主意?
我可以使用哪些方法来保护数据,使其无法在客户端计算机上访问?
馊主意。
- 有人可以访问本机,总是可以读取localStorage,没有什么可以做的,以防止它。 只需在firebug控制台中input“localStorage”,就可以获得所有的键/值对。
- 如果您的应用程序中存在XSS漏洞,则存储在
localStorage任何内容均可供攻击者使用。 - 你可以尝试encryption它,但有一个问题。 在客户端encryption是可能的,但意味着用户必须提供一个密码,你必须依赖于没有经过充分testing的JavaScriptencryption技术的实现。
- 在服务器端进行encryption当然是可能的,但是客户端代码无法读取或更新,因此您已经将localStorage减less为一个美化的cookie。
如果需要安全,最好不要发送给客户。 什么不在你的控制之下永远不可能是安全的。
公钥encryption技术可以应用于防止任何types的入侵。 另外,可以使用数据完整性检查(例如CRC或散列)来确保服务器validation数据。
