Kul*_*ade 6 javascript browser cross-domain local-storage
当我在 abc.com 托管的网页上嵌入 xyz.com 托管的 JS 时,xyz.com/test.js 似乎可以读取和写入 abc.com 上设置的所有键值。这不被认为是巨大的安全漏洞吗?当您计划使用任何第三方 JS(例如 Google Analytics)时,是否建议网站不要在本地存储中存储任何用户敏感信息?
这是一个示例 - https://jsfiddle.net/kuldeepk/eqawezd6/1/
localStorage.setItem('first-party', 'first-party');
window.Test.setKeyValue('third-party', 'third-party')
console.log(window.Test.getKey('first-party'))
console.log(localStorage.getItem('third-party'));
window.Test在第三方JS中声明
是否建议网站不要存储任何用户敏感信息
天哪,不,用你的而不使用任何第三方JS
js 或 html 中的所有内容都可以被访问您网站的每个人读取,无论它是在本地存储中还是在前端的其他位置。
只需按下F12并查看 stackoverflow 提供的整个前端源代码。