HTML5安全风险详析之二:Web Storage攻击

最新推荐文章于 2022-11-28 16:34:51 发布
最新推荐文章于 2022-11-28 16:34:51 发布
阅读量8.9k 收藏 7
点赞数
分类专栏: 前端 Web前端-关注HTML5与CSS3 文章标签: html5 web 存储 javascript 脚本 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfahe/article/details/7961618
版权

一、WebStorage简介

        HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。

二、攻击方式

        LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。

if(localStorage.length){
         for(I in localStorage) {
                   console.log(i);
                   console.log(localStorage.getItem(i));
         }
}
        同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。 

for(iin window) {
         obj=window[i];
         if(obj!=null||obj!=undefined)
             var type =typeof(obj);
         if(type=="object"
最低0.47元/天 解锁文章
蒋宇捷
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
html5 web storage攻击,HTML5安全风险Web Storage攻击详解
weixin_34170139的博客
06-21 154
一、WebStorage简介HTML5支持WebStorage,开发者可以为应用创建本地存储存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。二、攻击方式LocalStorage的API都是通过Javascript提供的,这样攻击者可以通...
安全与协议】cookies、session、sessionStorage和localStorage 全面分析对比
Umbrella_Um的博客
09-29 2498
在浏览器查看储存的数据 HTML4的本地存储 cookie 浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互。 一、cookie和session cookie和session都是用来跟踪浏览器用户身份的会话方式。 区别: 保持状态:cookie保存在浏览器端,session保存在服务器端 使用方式: ① cookie机制...
HTML5 Web Storage
web_hxx的博客
09-02 172
HTML5 Web Storage 通过Web StorageWeb应用程序可以在用户的​​浏览器中本地存储数据。在HTML5之前,应用程序数据必须存储在cookie中,包含在每个服务器请求中。Web Storage安全,可以在本地存储大量数据,而不会影响网站性能。与cookie不同,存储限制要大得多(至少5MB),信息永远不会传输到服务器。Web存储是按来源(每个域和协议)。来自一个来源的...
HTML5本地存储:从入门到精通
最新发布
Allen-
11-28 1507
💡HTML5本地存储是一种允许Web应用程序在用户浏览器端本地保存数据的技术,无需依赖服务器。它增强了Web应用的离线功能、个性化设置保留以及性能优化。
HTML5安全风险详析
03-01
它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。SOP就是SameOriginPolicy同源策略,指一个域的文档或脚本,不能获取或修改...
信号路径的每一环节:剖视及详析
12-13
在设计高速混合信号系统时,理解并优化信号路径的每一环节至关重要。这涉及到对信号从源头到最终处理的每一个组件的深入分析,以确保在整个路径中信号的质量和完整性得到最大程度的保留。本文主要关注输入或接收器...
HTML5WebStorage
我不要秃头的博客
05-29 143
H5新增的web 存储 Web存储 localStorage localStorage - 用于长久保存整个网站的数据,保存的数据没有过期时间,直到手动去除。 sessionStorage - 用于临时保存同一窗口(或标签页)的数据,在关闭窗口或标签页之后将会删除这些数据。 sessionStorage属于会话级存储,关闭标签即删除 localStorage 没有时间限制,主流浏览器的存储单位大约为5M,并且是以键值对的形式进行存储,localstorage一把在同源策略下的本地存储。 保存数据:loca
HTML5 Web 存储(localStorage和sessionStorage
热门推荐
sleepwalker_1992的专栏
09-24 1万+
HTML5 Web 存储是本地存储存储在客户端,包括localStorage和sessionStorageHTML5 Web 存储是以键/值对的形式存储的,通常以字符串存储。 localStorage localStorage生命周期是永久,除非主动清除localStorage信息,否则这些信息将永远存在。存放数据大小为一般为5MB,而且它仅在客户端(即浏览器)中保存,不参与和服务器的通...
HTML5本地存储Web Storage
web开发自学
01-05 411
Web StorageHTML5引入的一个非常重要的功能,可以在客户端本地存储数据,类似HTML4的cookie,但可实现功能要比cookie强大的多,cookie大小被限制在4KB,Web Storage官方建议为每个网站5MB。 Web Storage又分为两种: sessionStorage localStorage 从字面意思就可以很清楚的看出来,sessionStora...
localStorage和sessionStorage坑人小记
wnannanziyu的博客
07-05 2255
最近做一个项目,因为考虑到菜单不需要频繁更新,不想频繁请求后台获取,决定使用sessionStorage缓存菜单信息。在PC上使用的时候,一切都是溜溜的,想到项目还要兼容手机,想查看手机上的效果,于是在手机是上访问了页面,然后悲剧发生了,有些数据根本获取不到。结果是因为我手机的浏览器使用的无痕模式,切换模式,果然ok了。想起之前学习localStorage和sessionStorage这两个特性的
HTML5 web存储web storage
错位竞争,单点突破。
07-06 1318
HTML5之前的web中通常使用cookies在客户端存储简单的信息,使用cookies存储永久数据存在以下问题: cookies大小限制在4KB,不适合大量数据存储 浏览器限制站点可以在用户计算机上存储的cookies的数量。 cookies是随HTTP事务一起被发送的,因此会浪费一部分带宽。HTML5的出现则解决了web存储的问题。HTML5提供了本地存储的功能,以键值对存储的解决方案,支持容量
2019个人信息和数据泄露风险愈加凸显
SSL加密技术
10-22 3395
互联网时代,我们唾手可得的信息不计其数,我们可以通过一次点击即可与世界另一端联系,我们无需离开房屋来购买所需的东西。 但是,互联网为我们提供的所有自由和灵活性都带有一个小缺点:您的所有数据在全世界范围内都是可见的。黑客和网络犯罪分子对此非常了解。实际上,您在Internet上的所有个人数据可能已经暴露了无数次,而您却一无所知。 个人数据在网络上意味着什么?我们正在谈论的信息很多,包括您的电话号...
HTML5安全风险详析之一:CORS攻击
蒋宇捷的专栏
09-09 1万+
一、从SOP到CORS        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:        后来出现了CORS-CrossOrigin
javascript】js本地保存数据的一个解决方案:localStorage
字符集-utf8
02-28 1308
'localStorage' : localData = {hname : location.hostname ? location.hostname+'/marchsoft/index.php/OA/' : 'localStatus',isLocalStorage : window.localStorage ? true : false,dataDom : null,initDom:functi
添加 sessionStorage 到菜单
u011137664的博客
11-06 408
      参考 https://blog.csdn.net/rrz634171/article/details/78086065   https://blog.csdn.net/qq_33429583/article/details/79674569
sessionStorage用法注意事项
yuanlijiefengjuan的博客
03-06 4346
首先要初始化$(document).ready(function(){ initSessionStorage(); }); var storage; /** * 初始化sessionStorage */ function initSessionStorage() { if(!window.sessionStorage){ alert("浏览器不支持sessio...
Android敏感数据泄露引发的思考
黎程雨的博客
08-21 412
1.事件始末 一个平淡的午后,我还悠哉悠哉的敲着代码品着茶。突然服务端同事告诉我,关注接口正在被机械式调用,怀疑是有人在使用脚本刷接口(目的主要是从平台导流)。 纳尼?不会吧,因为据我所知接口请求是做了加密处理的,除非知道加密的密钥和加密方式,不然是不会调用成功的,一定是你感觉错了。然而当服务端同事把接口调用日志发给我看时,彻底否定了我的侥幸心理。 接口调用频率固定为1s 一次 被关注者的id每次调用依次加一(目前业务上用户id的生成是按照注册时间依次递增的) 加密的密钥始终使用固定的一个(正常的是
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值