是否应该使用 HTML5 数据库来存储任何形式的隐私信息?
假设我们有以下场景;
您正在浏览一个网络邮件客户端,在您关闭网络浏览器后,它使用网络数据库存储邮件草稿。是什么阻止我访问这些信息?
如果网页在打开时试图清除旧信息,用户脚本可以很容易地阻止网站完全加载,然后搜索数据库。此外,数据库和表格的名称可通过网络邮件客户端的来源轻松获得。
最佳答案
外部方访问用户数据库的唯一方法是直接访问用户的计算机,或者如果您的网络应用存在安全漏洞(例如 XSS - 跨站点脚本)。否则标准的浏览器安全性规定只有在来自特定域的网页中运行的脚本才能访问在同一域(相同源策略)上创建/存储的数据库,同样的事情会阻止您发出跨域 Ajax 请求或读取其他网站的 cookie,所有这些都可以通过 XSS 攻击来克服。
对我来说,存储草稿电子邮件似乎相当明智,而信用卡详细信息、密码等内容应该专门存储在服务器端。您需要根据要存储的内容来确定应将什么存储在何处。
关于sql - HTML5 Web 数据库安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2903608/