16

私はlocalStorageをCookieの代わり(Cookieを嫌う)として使用しようとしています。これにより、ユーザーは私が運営するサイトにサインインしたままになります。

これまでに計画したのは、ユーザーのユーザー名をlocalStorageに保存し、localStorageに何かがあるかどうかをサイトに確認させ、localStorageに何かがある場合は、POSTを介してlocalStorageデータをPHPファイルにプッシュし、ユーザーを新しいPHPセッションを開始し、元の場所に戻します。

懸念はありますが、localStorageを表示できることはわかっています。その場合、データサーバー側を暗号化することには意味があります。

しかし、LocalStorageデータを変更することはできますか?そうでない場合は、暗号化しなくてもこれで問題ありませんが、ユーザーがlocalStorageデータを変更できれば、他のユーザーのアカウントにアクセスできるようになります。これは、ご想像のとおり、良いことではありません。

JavaScriptはブラウザのクライアントで実行できるため、疑問がありました。

javascript:alert("hello");

localStorageの変数名を見つけて、このように値をリセットすることはできませんでしたか?

javascript:localStorage.setItem('sessionusername','superadmin');

基本的に、私は尋ねます:HTML5ローカルストレージデータはクライアント側で変更できますか?

4

3 に答える 3

23

ローカルストレージはドメインにバインドされているため、通常、ユーザーは他のドメインやローカルホストでストレージを変更することはできません。

また、ユーザー/ブラウザごとにバインドされます。つまり、サードパーティがローカルストレージにアクセスすることはできません。

それにもかかわらず、ローカルストレージは最終的にユーザーのファイルシステム上のファイルであり、ハッキングされる可能性があります。

于 2012-06-28T14:38:45.193 に答える
17

たとえば、Firefox用のFoundstone HTML5 Local Storage Explorerのようなアドオンがあり、ユーザーはグローバルに閲覧できるだけでなくlocalStorage、そのコンテンツを変更することもできます。

ローカルストレージエクスプローラー

だから私は誰もそれにアクセスできないとか、誰もそれを変更できないとは信じません。少なくともクライアントからは、それは簡単に可能です。別のWebサイトからは、より注意が必要な場合があり、意図された使用法ではないため、確かに「セキュリティホール」が含まれます。

更新:一方、少なくともFirefoxでは、そのためのアドオンも必要ありません。Ctrl+ Shift+を押して[ストレージI]タブを選択し、左端の列で[ローカルストレージ]を選択します。ここで、[フォアグラウンド]タブにあるサイトのローカルストレージを表示および編集することもできます。

LocalStorageブラウザ
Firefoxに組み込まれているローカルストレージブラウザ(画像をクリックすると拡大表示されます)

于 2013-08-08T14:02:25.477 に答える
0

はい、できます...

  1. ローカルストレージを変更するWebサイトにアクセスします。
  2. コンソールに入ります(ChromeまたはEdgeでF12を押します)。
  3. 上部の[アプリケーション]タブを押します。
  4. メニューでlocalstorageを選択し、次にその下のWebサイトアドレスを選択します。
  5. これで、目の前にキーと値のリストが表示されます。
  6. それらの下の最初の空白行を押して、左側に任意のキーを入力し、右側に任意の値を入力します。
于 2022-02-15T16:43:03.473 に答える