1、本地存储概述

本地存储,也称为Web存储或离线存储。是用来存储绑定到域的键值对的数据并由同源策略强制执行的机制,它有两个对象:本地存储和会话存储,本地存储是持久的,是为了在浏览器或系统重启后使用;会话存储是暂时的,只存在于窗口或标签被关闭前。

浏览器平均允许每个域在该存储区中存储大约5MB的空间,与cookie的4KB相比有很大的不同,但是从安全角度来看,关键的区别在于存储在这两个对象中的数据保存在客户端中并且不会发送到服务器,这也提高了网络性能,因为数据不需要在链路中往返。

本地存储

本地存储通常使用setItemgetItem函数。存储可以从javascript中读取,这意味着攻击者只需一个XSS就可以从存储中提取所有数据。此外,恶意数据也可以通过JavaScript加载到存储中,因此应用程序需要具有适当的控制来处理不受信任的数据。因为将共享相同的存储,所以需要检查是否存在像example.foo/app1example.foo/app2在同一域中的多个应用程序。

存储在该对象中的数据会在关闭窗口后持续保存,在此存储敏感数据或会话标识是存在风险的,因为它们可以通过JavaScript被访问。在cookie中存储会话ID可以使用httpOnly标识来降低风险。

会话存储

与本地存储的主要区别是只有在关闭标签/窗口之前,才能访问存储在该对象中的数据,这是不需要在会话之间持久保存的数据的理想选择。它共享多数属性和getItem/setItem方法,因此需要进行手动测试以查找这些方法,并确定其中访问存储的代码部分。

web渗透--60--本地存储安全相关推荐

  1. 【web渗透】专栏文章汇总

    一.基础部分 web渗透–1–写在开始 web渗透–2–web安全原则(上) web渗透–3–web安全原则(下) web渗透–4–web渗透测试清单 web渗透–5–自动化漏洞扫描 web渗透–6– ...

  2. (五)HTML5本地存储——Web Storage

    Web应用的发展,使得客户端存储使用得也越来越多,而实现客户端存储的方式则是多种多样.最简单而且兼容性最佳的方案是Cookie,但是作为真正的客户端存储,Cookie则存在很多致命伤.此外,在IE6及 ...

  3. HTML5的本地存储详解

    为什么80%的码农都做不了架构师?>>>    Html5 学习系列(六)Html5本地存储和本地数据库 一个网站如何能在客户的浏览器存储更多的数据呢? 在Html4的时代在浏览器端 ...

  4. Html5本地存储和本地数据库

    个网站如何能在客户的浏览器存储更多的数据呢? 在Html4的时代在浏览器端存储点网站个性化的数据,尤其是用户浏览器的痕迹,用户的相关数据等一般只能存储在Cookie中,但是大多是浏览器对于Cookie ...

  5. Vue本地存储及用法

    目录 1.本地存储是什么? 2.本地存储的应用场景 3.存储的使用 4. 练习用法 1.本地存储是什么? 以文件的方式存储在本地,通过把数据存在浏览器中,用户不必每次都向服务器请求 获取同一个信息.在 ...

  6. HTML5 学习笔记(三)——本地存储(LocalStorage、SessionStorage、Web SQL Database)

    一.HTML4客户端存储 B/S架构的应用大量的信息存储在服务器端,客户端通过请求响应的方式从服务器获得数据,这样集中存储也会给服务器带来相应的压力,有些数据可以直接存储在客户端,传统的Web技术中会 ...

  7. HTML5本地存储——Web SQL Database

    在HTML5 WebStorage介绍了html5本地存储的Local Storage和Session Storage,这两个是以键值对存储的解决方案,存储少量数据结构很有用,但是对于大量结构化数据就 ...

  8. html5 本地存储Web Storage

    在过去本地存储数据基本都是使用cookies保存一些简单的数据,使用cookies存储永久数据存在以下几个问题: 1.cookies的大小被限制在4KB: 2.cookies是随HTTP事务一起发送的 ...

  9. HTML5本地存储之Web Storage篇

    2019独角兽企业重金招聘Python工程师标准>>> Web Storage是HTML5引入的一个非常重要的功能,在前端开发中经常用到,可以在客户端本地存储数据,类似HTML4的c ...

最新文章

  1. 谷歌前CEO对“元宇宙”大泼冷水:AI技术是伪神
  2. Image Reflection
  3. 【EventBus】EventBus 源码解析 ( 注册订阅者总结 | 从封装的数据结构角度分析 EventBus )
  4. 关于用Delphi开发的一些基本的套路
  5. AD20学习笔记3---PCB封装库的创建方法及现有封装调用
  6. c语言闰年的判断条件DS1302,DS1302驱动程序(平年和闰年天数自动调整)
  7. (转)深入理解最强桌面地图控件GMAP.NET --- 原理篇
  8. [视频教程]ASP.net入门课程
  9. 详解动态规划——邹博讲动态规划
  10. HackerRank难题记录
  11. 深度学习 机器学习 数据集资源汇总
  12. flvplayer.swf flv视频播放器使用方法 (转载)
  13. Xtrareport 多栏报表
  14. 【一次过】Lintcode 646. 第一个独特字符位置
  15. DDSM 数据集格式转换 LJPEG to PNG
  16. matlab对照片进行磨皮美白,人像照片快速磨皮美白处理的PS技巧
  17. java解析pdf获取pdf中内容信息
  18. 虎年降至.一款2022虎年为主的一款头像制作小程序源码。
  19. python-测试框架nose(nosetests)简介
  20. 3、计算圆形面积(蓝桥杯入门题)

热门文章

  1. 【Scala-spark.mlib】分布式矩阵——分布式计算的基石与利器
  2. Debian系linux配置wifi连接|笔记本
  3. Suse12离线安装docker
  4. OpenCV-Python Feature2D 特征点检测(含SIFT/SURF/ORB/KAZE/FAST/BRISK/AKAZE)
  5. 采集并显示实时环境温度,环境温度范围为 0°C-40°C,LED 显示 5 位。
  6. js实现轮播图(简单滚动轮播)
  7. 将GIF转成视频MP4、MOV
  8. php实现视频转gif,mp4格式如何转换成gif格式
  9. H5新特性有哪些?怎么理解语义化
  10. Linux安全增强技术,采用MAC技术的嵌入式Linux安全增强技术研究.pdf