web應用安全筆記(有空就記一點點)
阿新 • • 發佈:2019-02-18
HTML5儲存
HTML5的本地儲存有localStorage、sessionStorage兩種,可謂大勢所趨,localStorage是儲存在本地的,sessionStorage是儲存記憶體中的,localStorage是無法跨瀏覽器存在,在Firefox、Chrome、Safari中儲存格式是SQLite,在IE和Opera中則是XML,在Firefox、Chrome、Safari、IE中以明文方式儲存,Opera中則將其以BASE64加密後儲存。localStorage沒有時效性,除非使用者主動刪除,不然永久存在。雖然這種儲存方式有些地方優於Cookie,但是對於敏感性資訊儘量杜絕使用localStorage儲存,尤其是身份驗證相關,Cookie同樣會遇到攻擊,不過Cookie擁有了一些防禦措施,其中一點就是可以通過HttpOnly來保護Cookie不被XSS攻擊,而localStorage是沒有做任何針對XSS攻擊的防禦措施,就算對儲存資訊進行了加密一旦遭遇攻擊也無濟於事。總的就是,localStorage還不夠成熟,對於敏感資訊避免使用。