一千萬個為什麽

搜索

HTML5 Web數據庫安全性

我正在研究使用HTML5的離線Web應用程序解決方案。 功能是我需要的一切但是存儲的數據可以直接在瀏覽器中查詢,因此完全不安全!

無論如何加密/隱藏以便數據安全嗎?

謝謝, D.

最佳答案

HTML5中的本地存儲有兩個問題 -

  1. 一個網站讀取其他網站存儲在用戶瀏覽器中的離線數據
  2. 最終用戶直接查詢您的網站離線數據

對於1,瀏覽器對localStorage(或safari具有的sqllite數據庫支持)強制執行相同域限制,因此其他網站將無法訪問您存儲的數據。但請記住,如果您的站點存在XSS漏洞,則可能會竊取數據。

對於2,你無法阻止它。它就像一個cookie - 用戶可以選擇查看/刪除/修改它。

可以加密數據(參見 http://farfarfar.com/scripts/encrypt/ ),但無意義。您不能擁有單個全局密鑰/密碼 - 因為攻擊者可以輕松地從javascript代碼中獲取密鑰。可以使用用戶輸入的密碼進行加密/解密,但客戶端加密庫不成熟或測試不夠好。有很多方法可以打破它。

所以,至少現在,不要將敏感數據存儲在localStorage中。

轉載註明原文: HTML5 Web數據庫安全性