从html5的新特性定位安全问题

公司这边的在线客服系统遇到了点安全问题，分析了开发的方案：

因为是web的聊天系统，聊天记录一般会存在html的dom里，存在客户端，每次打开还能看到聊天的历史记录，以前腾讯的web qq就是这么实现的，但是问题是这样以来，dom会被撑的很大，加载起来就会变慢，一定量甚至会造成浏览器崩溃，同时也想过用cookie存，但是毕竟cookie这东西太大了就不太好了。于是采用了另一种办法是采用h5提供的客户端存储数据的一种新方法（web storage）

• localStorage - 没有时间限制的数据存储

还有一种是

• sessionStorage - 针对一个 session 的数据存储

localStorage的效果就是你关闭浏览器后，再次打开计数器依然不变，因为是记录在本地的

if (localStorage.pagecount)
	{
	localStorage.pagecount=Number(localStorage.pagecount) +1;
	}
else
	{
	localStorage.pagecount=1;
	}
document.write("Visits: " + localStorage.pagecount + " time(s).");



刷新页面会看到计数器在增长。

请关闭浏览器窗口，然后再试一次，计数器会继续计数。

如果使用sessionStorage就不一样了。因为是基于会话记录的，关闭了，计数器就没了。。。换成聊天的话，你的聊天记录也就没了。。。所以不太适合我们的需要。。。

if (sessionStorage.pagecount)
	{
	sessionStorage.pagecount=Number(sessionStorage.pagecount) +1;
	}
else
	{
	sessionStorage.pagecount=1;
	}
document.write("Visits " + sessionStorage.pagecount + " time(s) this session.");



刷新页面会看到计数器在增长。

请关闭浏览器窗口，然后再试一次，计数器已经重置了。

但是由于localStorage存在客户端，所以不能分配太大的空间，我们给他分配了5M空间，并且周期性的清除localstorage，这里定位了一个安全问题，发送消息的接口是没有加密的，于是我写了一个python的程序模拟发送消息，一会这个消息就在清除之前写满了，溢出了，所以接口要做加密限制，不能暴露在外，还要限制接口的请求频率等。

写下这篇做个记录。。。