在localStorage中存储用户会话令牌是否存在安全风险？

作者: Jacob
发布时间: 2025-03-18 08:38:28 (3月前)
转自：

4 条回复

0#
回复此人
老夫的少女心吖 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 这种方法的主要问题是本地存储容易受到XSS的攻击，因为它可以通过JavaScript访问（当然，有一个易受XSS攻击的页面本身就是一个问题）。如果你的tokes足够小以适应饼干，那么这是放置它们的最佳位置。 </p> <P> 如果在cookie上设置仅HTTP标志，则浏览器将不允许JavaScript访问它。如果您在cookie上设置安全标志，浏览器将仅使用HTTPS请求发送它。如果要发送与安全性相关的令牌，则应该使用两个标志。 </p> </DIV>

编辑
1#
回复此人
晴天？霹雳 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 如果用户数据很小（或可以压缩）并且适合用户cookie，则应使用cookie。这避免了对本地存储的需求以及随之而来的安全问题。 </p> <P> 如果不是这种情况，那么您将被迫使用本地/集中存储，您应该注意的主要项目是 <a href="https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php"> sql注入 </A> 当你从http参数读取令牌并直接在mysql查询中使用时。通常 <a href="http://us2.php.net/mysql_real_escape_string" rel="nofollow noreferrer"> mysql_real_escape_string </A> 或参数化查询用于防止这种情况（细节 <a href="https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php"> 这里 </A> ）。你也应该逃避你的输入以防止 <a href="https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet" rel="nofollow noreferrer"> XSS </A> 独立于会话存储策略。 </p> <P> 需要注意的一些细节： </p> <UL> <LI> 用户名是唯一标识符（某种guid）。 </LI> <LI> 通常用于存储会话的更快方法是将memcached群集用于会话数据。 </LI> <LI> 意识到 <a href="http://en.wikipedia.org/wiki/Cross-site_request_forgery" rel="nofollow noreferrer"> 交叉方请求伪造 </A> 并且因为您正在更新用户数据，所以使用crumbs。 </LI> </UL> </DIV>

编辑
2#
回复此人
晴天 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您的浏览器使用相同的源策略保护本地存储，因此Javascript代码在托管的页面上运行 <code> http://a.com </code> 无法访问由页面上运行的Javascript代码存储的本地存储 <code> http://b.com </code> 。如果您的网页存在XSS漏洞且人们可以将Javascript代码注入其中，则他们可以访问您的本地存储。 </p> <P> 话虽如此，你的计划似乎是合理的。花一点时间来确保您的页面没有任何XSS漏洞似乎很好地利用了时间。 </p> </DIV>

编辑

登录后才能参与评论