基于localStorage的本地存储XSS

最新推荐文章于 2024-05-29 14:49:51 发布
最新推荐文章于 2024-05-29 14:49:51 发布
阅读量4.8k 收藏 3
点赞数 2
分类专栏: XSS 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanghuan313/article/details/55260232
版权

0x00 什么是localStorage

HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。
顾名思义:
sessionStorage 是针对session的数据存储,关闭窗口后删除。
localStorage 是一个本地的没有时间限制的数据存储

它们同样遵循SOP。

0x01 什么是基于localStorage的XSS

现在越来越多的前端人员把性能优化的目标指向了本地存储,利用localStorage来进行本地资源缓存,因为其大小上限为5MB,可以装相当多的东西,甚至在FireFox中你还可以修改这个上限。

那么一些关于用户个性化的设置信息完全可以存储在localStorage中,打开页面的时候JS负责从本地存储中取出数据。但所有的用户输入都是不可信的,包括本地数据,如果其中存在恶意代码,那么将会“无形中”被攻击,因为地址栏看不见payload,服务器也不知道发生了什么,只有浏览器上,悄悄地运行了恶意代码。

其实这和普通的存储型XSS差不多,但更难防御,因为恶意代码服务器无法监控,浏览器的XSS Filter也无法监控,这一切对用户都是透明的。

举个例子:

<!DOCTYPE html>
<
最低0.47元/天 解锁文章
9ian1i
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
whatsTheScore:玩本地,得分全球!
07-02
开发者可能利用了浏览器的localStorage或IndexedDB来在本地存储分数,然后通过AJAX或者Fetch API与服务器进行通信,将分数上传到全球排行榜。 5. **实时通信**: 如果游戏支持多人在线竞技,那么可能采用了WebSocket...
基于ssm+HTML5的网上跳蚤市场.zip
03-21
3. 本地存储:Web Storage(包括localStorage和sessionStorage)提供了比Cookie更大的存储空间,用于在浏览器中持久化数据。 4. Geolocation:获取用户地理位置信息,可用于提供基于位置的服务。 5. WebSocket:实现...
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2810
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码。 cookie可...
HTML5 localStorageXSS漏洞
笑花大王
02-13 1158
localStorage基础 WindowlocalStorage属性 HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。 它们同样遵循SOP 语法: wi...
存储XSS
最新发布
2401_84466361的博客
05-29 1043
什么是存储xss:提交恶意xss数据,存入数据库中,访问时触发。存储xss和反射型xss区别:存储型存入数据库中,可持续时间长,而反射型持续时间短,仅对本次访问有影响,反射型一般要配合社工。存储xss操作过程:嵌入到了web页面的恶意代码被存储到服务器上,例如你注册时候将用户昵称设置为XSS恶意代码,那么访问某些页面会显示用户名的时候就会触发恶意代码。存储xss可能出现的位置:可以插入数据的地方,比如用户注册,留言板,上传文件的文件名处,管理员可见的报错信息....同源策略。
day23 - Cookie、本地存储localStorage以及XSS攻击
weixin_45274291的博客
07-17 920
一、Cookie 1.概念: Cookie是浏览器提供的一个存储数据的空间。 Cookie又叫会话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。 比如:自动登录、记住用户名,记住一些和用户相关的信息等。 2.特点: 1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取 2. cookie是有时效性的,默认是会话级别,浏览器关闭就失效 3. cookie分路径的,
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 392
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
【复习】XSS的种类和本地读取cookie
qq_45300786的博客
05-22 292
xss类型: 反射:难以利用,所以危害低,但是会与后台交互,利用好话可以实现高危 存储:与后台交互,将恶意代码插入数据库,用户访问网页,会读取数据库内容,就会执行恶意代码,高危 Dom :算是反射型的一种,不会与后台进行交互,利用的document节点进行配合实现漏洞触发 (doom型是利用document节点进行动态交互,产生xss) 默认火狐是不能执行这种domxss因为火狐会把urd上面的字符串进行编码 在ie里面默认不编码但是要关闭XxSS过滤器方可执行 实操(搭建本地xss平台)
XSS攻击原理&解决方法
AndreMao的博客
11-04 694
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 攻击的条件 实施XSS攻击需要具备两个条件: 需要向web页面注入恶意代码; 这些恶意代码能够被浏览器成功的执
如何防止XSS攻击
帝都的雁的博客
06-03 1017
源于蚂蚁课堂的学习,点击这里查看(老余很给力) 何为XSS攻击 分类 反射型 请求参数中包含script等特殊的指令,随响应返回至视图,使得视图层执行了对应的脚本 存储型 参数中包含特殊的脚本,且被持久化(记录在数据库等地方),用户再去使用时,读取了这些文件,HTML解析后误以为是页面脚本, 就会触发执行 DOM 输出点在 DOM 。XSS代码可能是<script src="https://xxx.js">,载入第三方的恶意脚本,这些恶...
WebApp:基于Web的一些有趣的项目
05-30
3. **Web Storage与IndexedDB**:传统的Cookie已无法满足现代WebApp对本地存储的需求。Web Storage(包括localStorage和sessionStorage)提供了更大的存储空间,而IndexedDB则是一个更强大的数据库系统,适合存储...
E-learning:基于E-learning的网站
06-17
5. **数据存储**:利用浏览器的localStorage或sessionStorage API,JavaScript可以实现用户学习进度、偏好设置等数据的本地存储。 6. **实时反馈**:JavaScript可以提供实时的学习反馈,例如在线测验的即时评分,...
TerminalOS:基于 HTML5 的 Javascript 应用程序
07-12
4. **Web Storage**:包括`localStorage`和`sessionStorage`,用于在浏览器中持久化数据,为TerminalOS这样的应用程序提供了数据存储的可能性。 5. **Web Workers**:使得JavaScript可以进行多线程处理,提高计算...
渗透测试之XSS漏洞:记一次模拟注入攻击
遇事不决 可问春风
09-18 2966
XSS(cross-site script)跨站脚本攻击是一种web应用程序前端漏洞。攻击者将代码注入,用户在使用时由浏览器对漏洞代码进行解析,从而达到恶意攻击用户的特殊目的。
HTML5 本地存储 localstorage 安全分析
Delion
07-11 2万+
在HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前为止,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
LocalStorage 的一个漏洞
热门推荐
龙哥盟
02-19 4万+
LocalStorage 是 html5 的本地存储,其中的内容以文件的形式保存在本地磁盘中。一个域(协议+域名+端口)的文件大小PC端为5~10M,移动端不大于2.5M。但是我们可以在端口上做点手脚,因为端口是可控的,我们可以开一个服务器监听很多个端口,然后输出的页面使用iframe进行递归包含。比如我们的页面可以嵌入以下代码:(function(){     var maxPort = ...;
cookie XSS跨站脚本攻击 localStorage sessionStorage
weixin_45348067的博客
02-13 866
cookie 1、根据域名和路径进行存储 2、只能存储文本信息 3、只存储在指定的位置,不能随意改变位置 4、cookie后来都做了加密隐藏处理,现在无法直接找到cookie文件内容 5、cookie只能做临时存储,如果关闭浏览器,数据将会丢失 在cookie使用中,主要用于前后端不分离,如果前后端分离,使用AJAX发送时是不同的前后端不分离时,cookie会被自动携带发送到服务端,前后端不分离通...
转:localStorage 还能这么用
10-10 212
地址:https://iammapping.com/the-other-ways-to-use-localstorage/ localStorage 还能这么用 HTML5中 Web Storage 的出现,主要是为了弥补使用 Cookie 作为本地存储的不足。Cookie 存储的数据量非常小,而且数据会自动携带到请求头里,但服务器端可能并不关心这些数据,所以会造成带宽...
本地存储localstorage
07-27
localStorage 是 HTML5 提供的一种在客户端进行本地存储的方式。它允许在用户的浏览器中存储键值对数据,并且该数据会一直保存在用户的设备上,即使用户关闭了浏览器也不会丢失。 要使用 localStorage,可以使用 JavaScript 的 localStorage 对象进行操作。可以使用以下方法来操作 localStorage: 1. 存储数据: ```javascript localStorage.setItem(key, value); ``` 2. 获取数据: ```javascript var value = localStorage.getItem(key); ``` 3. 删除数据: ```javascript localStorage.removeItem(key); ``` 需要注意的是,存储localStorage 中的数据是以字符串的形式保存的。如果要存储对象或其他非字符串类型的数据,需要先将其转换为字符串,再存储localStorage 中。 另外,localStorage存储容量是有限的,通常在 5MB 到 10MB 之间。超过容量限制时,可能会导致无法继续存储数据。因此,在使用 localStorage 时,需要注意存储数据的大小和数量,以避免超出限制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值