HTML5安全风险详析之二:Web Storage攻击

最新推荐文章于 2020-08-21 22:02:45 发布
最新推荐文章于 2020-08-21 22:02:45 发布
阅读量9k 收藏 7
点赞数
分类专栏: 前端 Web前端-关注HTML5与CSS3 文章标签: html5 web 存储 javascript 脚本 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfahe/article/details/7961618
版权
本文探讨了HTML5的WebStorage特性,包括LocalStorage带来的便利与安全风险。通过阐述攻击者如何利用XSS窃取LocalStorage中的信息,如用户token,强调了防御措施的重要性,如正确使用作用域和避免存储敏感数据。
摘要由CSDN通过智能技术生成

一、WebStorage简介

        HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。

二、攻击方式

        LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。

if(localStorage.length){
         for(I in localStorage) {
                   console.log(i);
                   console.log(localStorage.getItem(i));
         }
}
        同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。 

for(iin window) {
         obj=window[i];
         if(obj!=null||obj!=undefined)
             var type =typeof(obj);
         if(type=="object"
最低0.47元/天 解锁文章
蒋宇捷
关注
专栏目录
HTML5 Web应用本地存储技术详解:localStorage、sessionStorage 与 IndexedDB
Allen-
11-28 1617
HTML5本地存储是一种允许Web应用程序在用户浏览器端本地保存数据的技术,无需依赖服务器。它增强了Web应用的离线功能、个性化设置保留以及性能优化。通过本地存储,开发者可以将关键信息、用户偏好、临时状态等数据安全地保留在用户的设备上,实现更快的加载速度、更好的用户体验以及部分离线功能。
html5 web storage攻击,HTML5安全风险Web Storage攻击详解
weixin_34170139的博客
06-21 198
一、WebStorage简介HTML5支持WebStorage,开发者可以为应用创建本地存储存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。二、攻击方式LocalStorage的API都是通过Javascript提供的,这样攻击者可以通...
安全与协议】cookies、session、sessionStorage和localStorage 全面分析对比
Umbrella_Um的博客
09-29 2698
在浏览器查看储存的数据 HTML4的本地存储 cookie 浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互。 一、cookie和session cookie和session都是用来跟踪浏览器用户身份的会话方式。 区别: 保持状态:cookie保存在浏览器端,session保存在服务器端 使用方式: ① cookie机制...
HTML5 Web Storage
web_hxx的博客
09-02 211
HTML5 Web Storage 通过Web StorageWeb应用程序可以在用户的​​浏览器中本地存储数据。在HTML5之前,应用程序数据必须存储在cookie中,包含在每个服务器请求中。Web Storage安全,可以在本地存储大量数据,而不会影响网站性能。与cookie不同,存储限制要大得多(至少5MB),信息永远不会传输到服务器。Web存储是按来源(每个域和协议)。来自一个来源的...
自动填写表单有风险吗?
脱缰的牛
10-30 198
使用一些方法获得 Cookie,即使能控制账号,但其密码仍无法得知,随时都有可能失去控制权,一些用户有让浏览器自动保存密码的习惯。通过这点,是否能套出记住的密码来呢?  分析下浏览器是如何自动填写页面表单的。其实很简单,浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了。   要是在流量可控的网络里,剥离页面所有内容只剩表单,又会如何?    保存着的密码仍能自动填上,并且...
HTML5安全风险详析之四:Web Worker攻击
蒋宇捷的专栏
10-23 1万+
一、WebWorker介绍        由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。        下面一张图形
HTML5安全风险详析
03-01
它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。SOP就是SameOriginPolicy同源策略,指一个域的文档或脚本,不能获取或修改...
HTML5 本地存储 localstorage 安全分析
热门推荐
Delion
07-11 2万+
HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前为止,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
localStorage和sessionStorage坑人小记
wnannanziyu的博客
07-05 2285
最近做一个项目,因为考虑到菜单不需要频繁更新,不想频繁请求后台获取,决定使用sessionStorage缓存菜单信息。在PC上使用的时候,一切都是溜溜的,想到项目还要兼容手机,想查看手机上的效果,于是在手机是上访问了页面,然后悲剧发生了,有些数据根本获取不到。结果是因为我手机的浏览器使用的无痕模式,切换模式,果然ok了。想起之前学习localStorage和sessionStorage这两个特性的
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2903
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码。 cookie可...
HTML5WebStorage
我不要秃头的博客
05-29 156
H5新增的web 存储 Web存储 localStorage localStorage - 用于长久保存整个网站的数据,保存的数据没有过期时间,直到手动去除。 sessionStorage - 用于临时保存同一窗口(或标签页)的数据,在关闭窗口或标签页之后将会删除这些数据。 sessionStorage属于会话级存储,关闭标签即删除 localStorage 没有时间限制,主流浏览器的存储单位大约为5M,并且是以键值对的形式进行存储,localstorage一把在同源策略下的本地存储。 保存数据:loca
2019个人信息和数据泄露风险愈加凸显
SSL加密技术
10-22 3452
互联网时代,我们唾手可得的信息不计其数,我们可以通过一次点击即可与世界另一端联系,我们无需离开房屋来购买所需的东西。 但是,互联网为我们提供的所有自由和灵活性都带有一个小缺点:您的所有数据在全世界范围内都是可见的。黑客和网络犯罪分子对此非常了解。实际上,您在Internet上的所有个人数据可能已经暴露了无数次,而您却一无所知。 个人数据在网络上意味着什么?我们正在谈论的信息很多,包括您的电话号...
HTML5安全风险详析之一:CORS攻击
蒋宇捷的专栏
09-09 1万+
一、从SOP到CORS        SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:        后来出现了CORS-CrossOrigin
javascript】js本地保存数据的一个解决方案:localStorage
字符集-utf8
02-28 1333
'localStorage' : localData = {hname : location.hostname ? location.hostname+'/marchsoft/index.php/OA/' : 'localStatus',isLocalStorage : window.localStorage ? true : false,dataDom : null,initDom:functi
添加 sessionStorage 到菜单
u011137664的博客
11-06 428
      参考 https://blog.csdn.net/rrz634171/article/details/78086065   https://blog.csdn.net/qq_33429583/article/details/79674569
Android敏感数据泄露引发的思考
鸿蒙开发知识记录
08-21 439
1.事件始末 一个平淡的午后,我还悠哉悠哉的敲着代码品着茶。突然服务端同事告诉我,关注接口正在被机械式调用,怀疑是有人在使用脚本刷接口(目的主要是从平台导流)。 纳尼?不会吧,因为据我所知接口请求是做了加密处理的,除非知道加密的密钥和加密方式,不然是不会调用成功的,一定是你感觉错了。然而当服务端同事把接口调用日志发给我看时,彻底否定了我的侥幸心理。 接口调用频率固定为1s 一次 被关注者的id每次调用依次加一(目前业务上用户id的生成是按照注册时间依次递增的) 加密的密钥始终使用固定的一个(正常的是
sessionStorage用法注意事项
yuanlijiefengjuan的博客
03-06 4381
首先要初始化$(document).ready(function(){ initSessionStorage(); }); var storage; /** * 初始化sessionStorage */ function initSessionStorage() { if(!window.sessionStorage){ alert("浏览器不支持sessio...
day23 - Cookie、本地存储localStorage以及XSS攻击
weixin_45274291的博客
07-17 1009
一、Cookie 1.概念: Cookie是浏览器提供的一个存储数据的空间。 Cookie又叫会话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。 比如:自动登录、记住用户名,记住一些和用户相关的信息等。 2.特点: 1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取 2. cookie是有时效性的,默认是会话级别,浏览器关闭就失效 3. cookie分路径的,
HTML5安全:CORS攻击风险解析
"HTML5安全风险详析,CORS攻击,SOP同源策略,跨域资源共享,Access-Control-Allow-Origin,安全风险" HTML5在引入更多功能的同时,也带来了新的安全风险,尤其是涉及到跨域访问的CORS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值