将localStorage用于敏感数据(假设当前的HTML5实现)会是一个好主意还是坏主意?
我可以使用哪些方法来保护数据,以便在客户端计算机上有权访问的人无法读取数据?
馊主意.
有权访问该机器的人将始终能够读取localStorage,您无法阻止它.只需在firebug控制台中键入"localStorage",就可以很好地列出所有键/值对.
如果您的应用程序中存在XSS漏洞,则存储的任何内容localStorage都可供攻击者使用.
您可以尝试加密它,但有一个问题.可以在客户端上加密它,但这意味着用户必须提供密码,并且您必须依赖于不那么经过测试的密码术的javascript实现.
当然可以在服务器端进行加密,但是客户端代码无法读取或更新它,因此您将localStorage减少为美化cookie.
如果它需要安全,最好不要发送给客户端.什么不在你的控制之下永远不会安全.
京公网安备 11010802040832号 | 京ICP备19059560号-6 