在现代 web 开发中,使用 localStorage 存储敏感数据存在安全隐患。 localStorage 提供了简单持久的存储方式,但 JavaScript 代码可以无限制地访问其存储的数据,这导致了多种攻击向量。第三方脚本注入、浏览器扩展利用以及跨站脚本攻击(XSS)都使得存储在 localStorage 中的敏感数据面临风险。
尽管 localStorage 存在安全风险,但它适用于存储非敏感数据,如界面偏好设置、临时数据等。例如,主题设置、字体大小、侧边栏折叠状态等,都是 localStorage 的理想使用场景。
localStorage 的几种替代方案, HttpOnly Cookies 提供了对 XSS 攻击的强大防护,因为 JavaScript 无法访问它们,适用于存储刷新令牌和会话标识符。 SessionStorage 提供了临时存储解决方案,数据在标签页关闭时自动清除,适用于存储单次会话中的敏感数据。 IndexedDB 适用于存储大量结构化数据,包括文件/二进制数据。结合 Web Crypto API 进行加密存储,可以安全地存储敏感数据。
#数据安全
https://www.trevorlasn.com/blog/the-problem-with-local-storage
尽管 localStorage 存在安全风险,但它适用于存储非敏感数据,如界面偏好设置、临时数据等。例如,主题设置、字体大小、侧边栏折叠状态等,都是 localStorage 的理想使用场景。
localStorage 的几种替代方案, HttpOnly Cookies 提供了对 XSS 攻击的强大防护,因为 JavaScript 无法访问它们,适用于存储刷新令牌和会话标识符。 SessionStorage 提供了临时存储解决方案,数据在标签页关闭时自动清除,适用于存储单次会话中的敏感数据。 IndexedDB 适用于存储大量结构化数据,包括文件/二进制数据。结合 Web Crypto API 进行加密存储,可以安全地存储敏感数据。
#数据安全
https://www.trevorlasn.com/blog/the-problem-with-local-storage