当我在abc.com上托管的网页上嵌入一个托管的JS,xyz.com时,似乎xyz.com/test.js可以读取和写入由abc.com设置的所有键值。难道这不是一个巨大的安全漏洞吗?当您计划使用Google Analytics等任何第三方JS时,是否建议网站不在localstorage中存储任何用户敏感信息?
以下是一个示例 - https://jsfiddle.net/kuldeepk/eqawezd6/1/
localStorage.setItem('first-party', 'first-party');
window.Test.setKeyValue('third-party', 'third-party')
console.log(window.Test.getKey('first-party'))
console.log(localStorage.getItem('third-party'));
window.Test在第三方JS中声明
答案 0 :(得分:2)
建议网站不存储任何用户敏感信息
没有使用任何第三方JS
,没有访问您网站的所有人都可以阅读js或html中的所有内容,无论是在本地存储中还是在前端的其他位置。
只需按 F12 ,查看stackoverflow提供的整个前端源代码。