用户在探讨使用localStorage替代cookie来存储用户登录状态的安全性问题。担忧在于客户端JavaScript可以访问localStorage,允许潜在的数据篡改。文章提到,尽管可以加密数据提升安全性,但客户端数据仍有可能被修改,从而引发账户安全风险。作者询问是否以及如何防止localStorage数据被客户端修改。
我正在尝试使用localStorage作为cookie替换(恶意cookie),以便用户可以在我运营的网站上保持登录状态.
我到目前为止计划的是将用户的用户名保存在localStorage中,并让站点检查是否有任何东西在localStorage中,如果有任何东西在localStorage中,它会通过POST将localStorage数据推送到PHP文件并将用户推送到启动一个新的PHP会话并将它们返回到原来的位置.
虽然我有顾虑,但我知道可以查看localStorage,在这种情况下,加密数据服务器端可能会有所帮助.
但是可以修改LocalStorage数据吗?如果没有,即使没有加密,也可以这样做,但很明显,如果用户可以修改localStorage数据,他们就可以访问其他人的帐户,这是你可以想象的,这不是一件好事.
我有疑问,因为JavaScript可以由浏览器中的客户端执行,即:
javascript:alert("hello");
难道不可能找到localStorage的var名称并重置它的值这样吗?
javascript:localStorage.setItem('sessionusername','superadmin');
基本上,我问:可以在客户端修改HTML5本地存储数据吗?
干杯,
卡兰:)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
