我正在使用
HTML5查看离线的网络应用程序解决方案.
功能是我需要的一切,但存储的数据可以直接在浏览器中查询,因此完全不安全! @H_403_3@有没有加密/隐藏,以便数据是安全的? @H_403_3@谢谢,
D.
功能是我需要的一切,但存储的数据可以直接在浏览器中查询,因此完全不安全! @H_403_3@有没有加密/隐藏,以便数据是安全的? @H_403_3@谢谢,
D.
解决方法
HTML5中的本地存储有两个问题:
@H_403_3@>一个网站读取另一个网站存储在用户浏览器中的离线数据
>最终用户直接查询您的网站离线数据 @H_403_3@对于1,浏览器对localStorage(或safari拥有的sqllite数据库支持)执行相同的域限制,因此其他网站将无法访问您存储的数据.但是,请记住,如果您的站点具有XSS漏洞,则可能会窃取数据. @H_403_3@对于2,你不能阻止它.它就像一个cookie – 用户可以选择查看/删除/修改它. @H_403_3@加密数据是可能的(见http://farfarfar.com/scripts/encrypt/),但毫无意义.您不能拥有单一的全球密钥/密码,因为攻击者可以轻松地从JavaScript代码中获取密钥.使用用户输入的密码进行加密/解密是可能的,但是客户端加密库尚未成熟或测试不够好.有可能有很多办法打破它. @H_403_3@所以,现在至少,不要在localStorage中存储敏感数据.
>最终用户直接查询您的网站离线数据 @H_403_3@对于1,浏览器对localStorage(或safari拥有的sqllite数据库支持)执行相同的域限制,因此其他网站将无法访问您存储的数据.但是,请记住,如果您的站点具有XSS漏洞,则可能会窃取数据. @H_403_3@对于2,你不能阻止它.它就像一个cookie – 用户可以选择查看/删除/修改它. @H_403_3@加密数据是可能的(见http://farfarfar.com/scripts/encrypt/),但毫无意义.您不能拥有单一的全球密钥/密码,因为攻击者可以轻松地从JavaScript代码中获取密钥.使用用户输入的密码进行加密/解密是可能的,但是客户端加密库尚未成熟或测试不够好.有可能有很多办法打破它. @H_403_3@所以,现在至少,不要在localStorage中存储敏感数据.
