我打算向公众发布一个网站,该网站使用本地存储(例如API密钥)在客户端存储敏感信息。我的PHP脚本中使用了存储在本地存储中的变量。
我当时在想,因为它具有SSL证书,所以足以存储敏感信息,例如API密钥和机密。
我的网站上没有广告。该网站还具有一个MySQL数据库。
我将配置一个普通用户以读取数据,因为该用户不需要写权限(这是一个只读站点)。问题是,如果他们以后进入恶意网站,他们可能会提取这些“本地存储”密钥(可能带有脚本),并有可能入侵我的消费者。
在创建和使用密钥时,这些名称在我的网站上非常通用,因此很难识别密钥的来源或用途。
对我的消费者这样做是错误的吗?
答案 0 :(得分:0)
是的,这是错误的。这意味着巨大的安全漏洞。想象一下由于某种原因在浏览器中执行任何恶意Javascript的情况。它将能够读取localStorage的内容并将其发送给黑客。
这可能是由网站问题(例如XSS注入的可能性)引起的,但是带有恶意内容的浏览器扩展也可以实现同样的目的。尽管可以防止XSS注入,但是如果站点开发人员谨慎,用户将无法安装哪些浏览器扩展。避免这种方法。将敏感数据安全地存储在服务器上。