站点的本地存储值可以被xss(跨站点脚本)覆盖吗?据我在 Chrome 和 Firefox 中验证,一个站点的 localstorage 值不能被其他站点访问。谁能告诉我 localstorage 值是否可以通过 xss 从浏览器中的不同域读取/写入?
最佳答案
现在许多网站都添加了第三方 js 库来进行分析、A/B 测试、营销工具、热图等......您可能对自己的代码很确定,但如果这些脚本之一容易受到攻击,那么您应该预料到XSS攻击很容易,在这种情况下,它可以抢占你的本地存储。不要使用本地存储来存储 session 标识符或敏感 token 。坚持使用 cookie 并使用 HTTPOnly
和 Secure 标志。为了防止对 Cookie 的 CSRF 攻击,几乎所有请求都包含以下一项或两项:Origin
header 和 Referer
header 。通过检查 API 中的 HTTP Referer 和 Origin header ,可以部分阻止 CSRF。 CSRF 攻击将具有与您的应用程序无关的 Referer 和 Origin header 。
关于xss - 本地存储和 XSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13931863/