当我在abc.com托管的网页上嵌入xyz.com托管的JS时,似乎xyz.com/test.js可以读取和写入abc.com以及由abc.com设置的所有键值。那不算是巨大的安全漏洞吗?当您计划使用Google Analytics(分析)中的任何第三方JS时,建议网站不要在本地存储中存储任何用户敏感信息吗?
这是一个示例-https://jsfiddle.net/kuldeepk/eqawezd6/1/
localStorage.setItem('first-party', 'first-party');
window.Test.setKeyValue('third-party', 'third-party')
console.log(window.Test.getKey('first-party'))
console.log(localStorage.getItem('third-party'));
window.Test在第三方JS中声明
最佳答案
Are sites advised to not store any user sensitive information
hell ,不用您使用任何第三方JS
不论是在本地存储中还是在前端的其他地方,访问您的网站的每个人都可以读取js或html中的所有内容。
只需按F12键,然后查看stackoverflow必须提供的整个前端源代码。
关于javascript - 第三方JS可以访问第一方本地存储吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42147419/