HTML5Web Storage攻擊安全風(fēng)險詳解

　　HTML5支持WebStorage，開發(fā)者可以為應(yīng)用創(chuàng)建本地存儲，存儲一些有用的信息。例如LocalStorage可以長期存儲，而且存放空間很大，一般是5M，極大的解決了之前只能用Cookie來存儲數(shù)據(jù)的容量小、存取不便、容易被清除的問題。這個功能為客戶端提供了極大的靈活性。下面跟小編一起來了解一下吧!

　　一、WebStorage簡介

　　HTML5支持WebStorage，開發(fā)者可以為應(yīng)用創(chuàng)建本地存儲，存儲一些有用的信息。例如LocalStorage可以長期存儲，而且存放空間很大，一般是5M，極大的解決了之前只能用Cookie來存儲數(shù)據(jù)的容量小、存取不便、容易被清除的問題。這個功能為客戶端提供了極大的靈活性。

　　二、攻擊方式

　　LocalStorage的API都是通過Javascript提供的.，這樣攻擊者可以通過XSS攻擊竊取信息，例如用戶token或者資料。攻擊者可以用下面的腳本遍歷本地存儲。

　　同時要提一句，LocalStorage并不是唯一暴露本地信息的方式。我們現(xiàn)在很多開發(fā)者有一個不好的習(xí)慣，為了方便，把很多關(guān)鍵信息放在全局變量里，例如用戶名、密碼、郵箱等等。數(shù)據(jù)不放在合適的作用域里會帶來嚴(yán)重的安全問題，例如我們可以用下面的腳本遍歷全局變量來獲取信息。

　　三、攻擊工具

　　HTML5dump的定義是“JavaScriptthat dump all HTML5 local storage”，它也能輸出HTML5 SessionStorage、全局變量、LocalStorage和本地數(shù)據(jù)庫存儲。

　　四、防御之道

　　對于WebStorage攻擊的防御措施是：

　　1、數(shù)據(jù)放在合適的作用域里

　　例如用戶sessionID就不要用LocalStorage存儲，而需要放在sessionStorage里。而用戶數(shù)據(jù)不要儲存在全局變量里，而應(yīng)該放在臨時變量或者局部變量里。

　　2、不要存儲敏感的信息

　　因為我們總也無法知道頁面上是否會存在一些安全性的問題，一定不要將重要的數(shù)據(jù)存儲在WebStorage里。

【HTML5Web Storage攻擊安全風(fēng)險詳解】相關(guān)文章：

HTML5Web Worker攻擊安全風(fēng)險詳解08-30

HTML5API攻擊安全風(fēng)險詳解08-26

HTML5劫持攻擊安全風(fēng)險詳解08-28

HTML5安全風(fēng)險之WebSQL攻擊詳解08-04

HTML5新標(biāo)簽攻擊安全攻防詳解08-25

詳解DDoS攻擊原理的目標(biāo)導(dǎo)向02-14

安全設(shè)置有效防止黑客攻擊07-15

安全風(fēng)險管理標(biāo)語02-22

企業(yè)安全遭受攻擊的15個跡象02-05