HTML5 localStorage安全性

Question

将localStorage用于敏感数据（假设当前的HTML5实现）会是一​​个好主意还是坏主意？

我可以使用哪些方法来保护数据，以便在客户端计算机上有权访问的人无法读取数据？

Answer 1

糟糕的主意。

1. 有权访问该计算机的人将始终能够读取localStorage，您无法阻止它。只需在firebug控制台中键入“localStorage”，就可以很好地列出所有键/值对。
2. 如果您的应用程序中存在XSS漏洞，则localStorage中存储的任何内容都可供攻击者使用。
3. 您可以尝试加密它，但有一个问题。可以在客户端上加密，但这意味着用户必须提供密码和，您必须依赖于经过严格测试的密码学javascript实现。
4. 当然可以在服务器端进行加密，但是客户端代码无法读取或更新它，因此您将localStorage减少为美化cookie。

如果需要安全，最好不要将其发送给客户端。什么不在你的控制之下永远不会安全。

Answer 2

公钥加密可用于防止任何类型的入侵。此外，可以使用数据完整性检查（例如CRC或哈希）来确保服务器验证数据。