Html5 客户端存储安全

HTML 5 在客户端存储上的内容更丰富,更强大了,比如cookie只能存4k的内容,而HTML5标准里,可以存数十M都没有问题。

在未来可能很多隐私数据都会保存在客户端,这其实也提高了风险。

在html5中的客户端存储有3个

Session Storage
Local Storage(ex Global Storage)
Database Storage

做了点小笔记。

和cookie类似,在新的html 5中使用的是 Session Storage,不过它的生效时间不再由程序员指定了。

Session Storage没有path字段,所以相对cookie能针对某个目录的设计而言,这种设计在安全上反而是削弱了。

Global Storage 比较危险,属于全局保存的数据,能跨全域,不过目前ff2 ff3和ie8都严格限制了这一点。

database storage目前还只有webkit支持,用的是sqlite。

未来FF和IE肯定也会加入对它的支持,不知道会不会也用sqlite。

如果使用了Database storage,那就还会存在客户端注射的风险。

一般情况下,需要知道字段名才能去操作,不过paper的作者提出可以用遍历的方法来获取字段名,类似遍历:window.sessionStorage


已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐
  • —软件人才免语言低担保 赴美带薪读研!—



你可能感兴趣的:(html5,客户端)