Html5 客户端存储安全

标签: html5 客户端 安全 | 发表时间:2015-12-12 12:27 | 作者:网络接口
出处:http://www.iteye.com
HTML 5 在客户端存储上的内容更丰富,更强大了,比如cookie只能存4k的内容,而HTML5标准里,可以存数十M都没有问题。

在未来可能很多隐私数据都会保存在客户端,这其实也提高了风险。

在html5中的客户端存储有3个

Session Storage
Local Storage(ex Global Storage)
Database Storage

做了点小笔记。

和cookie类似,在新的html 5中使用的是 Session Storage,不过它的生效时间不再由程序员指定了。

Session Storage没有path字段,所以相对cookie能针对某个目录的设计而言,这种设计在安全上反而是削弱了。

Global Storage 比较危险,属于全局保存的数据,能跨全域,不过目前ff2 ff3和ie8都严格限制了这一点。

database storage目前还只有webkit支持,用的是sqlite。

未来FF和IE肯定也会加入对它的支持,不知道会不会也用sqlite。

如果使用了Database storage,那就还会存在客户端注射的风险。

一般情况下,需要知道字段名才能去操作,不过paper的作者提出可以用遍历的方法来获取字段名,类似遍历:window.sessionStorage


已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [html5 客户端 安全] 推荐:

Html5 客户端存储安全

- - Web前端 - ITeye博客
HTML 5 在客户端存储上的内容更丰富,更强大了,比如cookie只能存4k的内容,而HTML5标准里,可以存数十M都没有问题. 在未来可能很多隐私数据都会保存在客户端,这其实也提高了风险. 在html5中的客户端存储有3个. 和cookie类似,在新的html 5中使用的是 Session Storage,不过它的生效时间不再由程序员指定了.

文章: James Ward谈使用HTML5和Java开发客户端/服务器应用

- - InfoQ cn
谈到应用开发,不管是客户端/服务器类应用、传统的Web应用还是移动Web应用,最近的趋势是使用像流式网格布局(Fluid Grid Layout)和响应式网页设计(Responsive Web Design)这样的模式,以及像HTML5、CSS3和JavaScript(客户端和服务器都支持)这样的技术.

手机安全公司Lookout推出iPhone客户端

- SotongDJ - 36氪
随着智能手机日益普及,丢手机成为一种必然发生的小概率事件. 由于智能手机越来越智能,里面存储的信息越来越多、越重要,如何保证手机的信息安全是一个让人挠头的问题. 如果你的手机丢了,如何确定手机位置呢. 万一你使用的WiFi会记录你的网银密码呢. 和PC平台一样,移动平台上的数据安全也越来越受到人们的重视.

移动客户端与服务器端安全通信方案

- - CSDN博客移动开发推荐文章
    手机移动端与服务器端安全通信一直是个问题,让人比较头疼,最近在网上查了一些资料,总结了一下得出了一个自我感觉还好的方案,分享一下,也希望得到大家的批评斧正.     CS,C客户端,S服务器端.     在客户端软件发布前,客户端保存一个公钥,服务器保存一个私钥.     C1:客户端随机生成一个对称密钥K,使用公钥加密内容(K+账户+密码).

Web客户端安全性最佳实践

- - 博客 - 伯乐在线
得益于HTML5,Web应用中越来越多的逻辑从服务器端迁移到了客户端. 因而,前端开发人员也需要更多关注安全性方面的问题. 在这篇文章中,我会告诉你如何使你的应用更加安全. 我会着重描述一些你可能从未听说过的技术,而不是仅仅告诉你“别忘了对用户提交的页面数据做转义(escape)”. 当然,我并不想让你通过FTP或者普通的TCP协议来传输你的数据.

腾讯应用中心Android客户端上线 设安全认证

- Tony - cnBeta.COM
Android腾讯应用中心客户端昨日全新上线,其前身是“QQ手机软件管理”. 腾讯应用中心Android客户端全新的UI和架构,显示出腾讯应用中心的社区化和开放平台理念,同时腾讯应用中心每款应用都经专业的QQ手机管家认证,用户下载更安心.

免费Android客户端静态代码安全分析工具—Dexter

- - FreebuF.COM
Bluebox Labs刚刚发布了一款免费工具,可以帮助信息安全工作者分析Android移动客户端的恶意程序以及漏洞,这款工具的名字叫Dexter. Dexter将人工和自动静态分析功能合二为一,因此分析效果更佳. 因为一般程序的源代码并未提供,Dexter在第三方软件分析和逆向分析中很有帮助.

奶瓶腿(NetPutweets)— 一个安全的、个性的第三方中文 Twitter 手机客户端

- authur - iGFW
奶瓶腿 – NetPutweets. 「奶瓶腿」是一个安全的、个性的第三方中文 Twitter 手机客户端,基于 Dabr 项目,由 @NetPuter 修改、架设. 同时也感谢 @iChada @17th @yegle @luosheng @LonelySwan 的协助. 如果你关注奶瓶 @NetPuter 和他折腾的一些项目,并且希望帮助他,欢迎以捐助的形式使他更好地折腾.

【转载】HTML5有效提升iFrame安全性 新增Sandbox属性

- - HTML5研究小组
HTML 5将针对iframe元素增加sandbox属性,可以防止不信任的Web页面执行某些操作. HTML 5规范的编辑Ian Hickson谈到了sandbox的好处,它可以防止如下操作:. 访问父页面的DOM(从技术角度来说,这是因为相对于父页面iframe已经成为不同的源了). 通过脚本嵌入自己的表单或是操纵表单.

MongoDB 客户端 MongoVue

- - haohtml's blog
今天在同事那里看到了一个很不错的MongoDB的客户端工具MongoVue,地址是 http://www.mongovue.com/. 做的不错,1.0版本的开始收费了,费用也不贵才35$. 真正需要的同学可以掏点钱买个吧,也算是支持这个工具,如果只是学习研究用的话我这里还有一个0.9.7版本,虽然比起1.0版来说有些bug,平常使用也够了,需要的同学可以单独联系我.