HTML5 开发中的本地存储的安全风险

oschina
 oschina
发布于 2013年06月25日
收藏 17

本地储存功能的重大变化在HTML标准发展中引人注目,浏览器从只能使用cookies到能储存少量信息,如用于身份识别的会话令牌。而HTML5标准则 引入了会话储存、本地储存和客户端数据库,开发者可以在浏览器中储存大量数据,所有这些数据都可以通过 JavaScript访问。这种策略的风险在 于攻击者可以检索或操作数据,然后被应用程序再次使用,甚至可能上传到服务器被用于攻击其他人。另一个风险与第三方代码有关,JavaScript从只能 请求来自其所加载域名的资源,到跨站资源请求,允许JavaScript 请求不同域名的资源,这项新功能的引入需要有严格的使用策略防止被滥用。

via Solidot

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:HTML5 开发中的本地存储的安全风险
加载中

最新评论(9

吴振宁
吴振宁
怎么用,看人。
mark35
mark35

引用来自“蟋蟀哥哥”的评论

引用来自“ff_x”的评论

相比本地存储带来的便利,风险其实不重要,都可以修复。

曾经见过一段HTML5本地储存的恶意代码,直接把浏览器卡死了,因为把硬盘写满了。

这个是程序的攻击,与html5没啥关系吧。即便不用localStorge,用js不照样可以攻击么
liujb88
liujb88
非常不安全
Marser_cn
Marser_cn

引用来自“唐海康”的评论

如果真的可以写满硬盘的话,可不可以写入病毒呢

可以。
唐海康
唐海康
如果真的可以写满硬盘的话,可不可以写入病毒呢
蟋蟀哥哥
蟋蟀哥哥

引用来自“ff_x”的评论

相比本地存储带来的便利,风险其实不重要,都可以修复。

曾经见过一段HTML5本地储存的恶意代码,直接把浏览器卡死了,因为把硬盘写满了。
魔力猫
魔力猫
还有写满你的硬盘的危险
loki_lan
loki_lan
楼上说得不对,这种致命的风险存在就毁了其他的功能,之前不还是出现过利用这个漏洞直接把本地磁盘占满了么。
ff_x
ff_x
相比本地存储带来的便利,风险其实不重要,都可以修复。
返回顶部
顶部