html5的localstorage这种设计,额,这叫安全吗?
导读:本文共869.5字符,通常情况下阅读需要3分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:网页没有权限直接修改用户本地文件,只能用户主动触发上传或者下载(如点击事件或者Enter键触发),文件修改也只能在FileReader API内存中进行,关闭页面就释放了,修改完只能download,即使下载文件出现同名,浏览器也给文件自动加长文件名。localstorage储存用户数据保持登录的话,也不会直接更不会明文存储用户密码,一般的做法会存一个具有时间的标识,用户首次登录账号密码成功后,服... ...
目录
(为您整理了一些要点),点击可以直达。
网页没有权限直接修改用户本地文件,只能用户主动触发上传或者下载(如点击事件或者Enter键触发),文件修改也只能在FileReader API内存中进行,关闭页面就释放了,修改完只能download,即使下载文件出现同名,浏览器也给文件自动加长文件名。localstorage储存用户数据保持登录的话,也不会直接更不会明文存储用户密码,一般的做法会存一个具有时间的标识,用户首次登录账号密码成功后,服务器生成一个唯一标识给前端保存在localstorage,下次访问通过localstorage里的标识和服务器对比通过后才能登录,该次登录成功后立即销毁标识,生成新的标识传回前端,退出后立即删除这个标识。有时结合ID、KEY、(new Date).getTime()/随机数和cookie甚至document.domain等数据。localstorage是不跨域的,只能同源读取。跨域数据能用iframe的postMessage,即使跨域传递了数据,也要iframe里面的网页接收和发送postMessage并读写localstorage,前提是网页自己暴露这个及不安全的接口。关键就是,网页没有权限能像你一样手动修改localstorage文件名,或者诱导用户自己手动修改localstorage文件名。今天见多了也警惕了网络诈骗的网民们,不放心或者没见过的网站就连填个手机号码都不愿意,怎么引导他做这么复杂的操作,要进C:\Users\自己的用户名\文件夹,同时搜索到两个文件并同时修改两个文件,中途还要重启浏览器并回到之前的页面。能做到的肯定是有一定计算机基本安全意识的人,敢交给别人这么干的也一定是信任的人。
html5的localstorage这种设计,额,这叫安全吗?的详细内容,希望对您有所帮助,信息来源于网络。