JavaScript-HTML5 使用本地存储登录,安全吗?
Posted
技术标签:
【中文标题】JavaScript-HTML5 使用本地存储登录,安全吗?【英文标题】:JavaScript-HTML5 Login using Local storage,is safe? 【发布时间】:2016-08-12 19:15:05 【问题描述】:我已经创建了这个登录系统:
用户名并在登录页面的表单中插入
然后
提交时,使用 websocket 用户名和密码(加密)发送到控制数据的 c# 服务器应用程序
然后
如果数据正确,用户名和除密码外的其他数据将保存在本地存储中并用作会话变量。
我的问题是:这个系统如何安全?
【问题讨论】:
【参考方案1】:我不是安全专家,但我建议将任何敏感数据存储在 cookie 中而不是本地存储中,因为 cookie 具有您可以设置的额外安全措施,例如
-
“安全”仅允许使用 https 协议。
'HttpOnly' 阻止 javascript 读取 cookie,从而防止 XSS 攻击。
您可以通过设置 CSRF 令牌来防止 CSRF 攻击。
如果您正在构建一个需要身份验证的应用程序,那么您可以将许多库集成到您的应用程序中,这很可能比自己构建它更安全,所以我建议您研究一下。
【讨论】:
以上是关于JavaScript-HTML5 使用本地存储登录,安全吗?的主要内容,如果未能解决你的问题,请参考以下文章