HTML5 localStorage安全性

Question

将localStorage用于敏感数据(假设当前的HTML5实现)会是一个好主意还是坏主意？

我可以使用哪些方法来保护数据,以便在客户端计算机上有权访问的人无法读取数据？

Answer 1

馊主意.

有权访问该机器的人将始终能够读取localStorage,您无法阻止它.只需在firebug控制台中键入"localStorage",就可以很好地列出所有键/值对.
如果您的应用程序中存在XSS漏洞,则存储的任何内容localStorage都可供攻击者使用.
您可以尝试加密它,但有一个问题.可以在客户端上加密它,但这意味着用户必须提供密码,并且您必须依赖于不那么经过测试的密码术的javascript实现.
当然可以在服务器端进行加密,但是客户端代码无法读取或更新它,因此您将localStorage减少为美化cookie.

如果它需要安全,最好不要发送给客户端.什么不在你的控制之下永远不会安全.

但是,一个好的观点是来自域的脚本只能读取由该域设置的`localStorage`** (9认同)
我会说的.糟糕的做法.https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Local_Storage_.28a.ka_Offline_Storage.2C_Web_Storage.29 (3认同)