注册
登录
云鉴权
在localStorage中存储用户会话令牌是否存在安全风险?
返回
在localStorage中存储用户会话令牌是否存在安全风险?
作者:
Jacob
发布时间:
2024-12-14 09:06:53 (13天前)
转自:
<p> <br/> 我正在设计一个身份验证系统,在客户端计算机上将一些哈希字符串存储为“令牌”</p><p>localStorage [‘tokens’] = [username,string1,string2,….]<br/>并且那些……<br/> <br/></p>
收藏
举报
4 条回复
0#
回复此人
老夫的少女心吖
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这种方法的主要问题是本地存储容易受到XSS的攻击,因为它可以通过JavaScript访问(当然,有一个易受XSS攻击的页面本身就是一个问题)。如果你的tokes足够小以适应饼干,那么这是放置它们的最佳位置。 </p> <P> 如果在cookie上设置仅HTTP标志,则浏览器将不允许JavaScript访问它。如果您在cookie上设置安全标志,浏览器将仅使用HTTPS请求发送它。如果要发送与安全性相关的令牌,则应该使用两个标志。 </p> </DIV>
编辑
1#
回复此人
晴天?霹雳
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 如果用户数据很小(或可以压缩)并且适合用户cookie,则应使用cookie。这避免了对本地存储的需求以及随之而来的安全问题。 </p> <P> 如果不是这种情况,那么您将被迫使用本地/集中存储,您应该注意的主要项目是 <a href="https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php"> sql注入 </A> 当你从http参数读取令牌并直接在mysql查询中使用时。通常 <a href="http://us2.php.net/mysql_real_escape_string" rel="nofollow noreferrer"> mysql_real_escape_string </A> 或参数化查询用于防止这种情况(细节 <a href="https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php"> 这里 </A> )。你也应该逃避你的输入以防止 <a href="https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet" rel="nofollow noreferrer"> XSS </A> 独立于会话存储策略。 </p> <P> 需要注意的一些细节: </p> <UL> <LI> 用户名是唯一标识符(某种guid)。 </LI> <LI> 通常用于存储会话的更快方法是将memcached群集用于会话数据。 </LI> <LI> 意识到 <a href="http://en.wikipedia.org/wiki/Cross-site_request_forgery" rel="nofollow noreferrer"> 交叉方请求伪造 </A> 并且因为您正在更新用户数据,所以使用crumbs。 </LI> </UL> </DIV>
编辑
2#
回复此人
晴天
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您的浏览器使用相同的源策略保护本地存储,因此Javascript代码在托管的页面上运行 <code> http://a.com </code> 无法访问由页面上运行的Javascript代码存储的本地存储 <code> http://b.com </code> 。如果您的网页存在XSS漏洞且人们可以将Javascript代码注入其中,则他们可以访问您的本地存储。 </p> <P> 话虽如此,你的计划似乎是合理的。花一点时间来确保您的页面没有任何XSS漏洞似乎很好地利用了时间。 </p> </DIV>
编辑
登录
后才能参与评论
