localStorage不能存敏感信息,仅适用于非敏感前端状态数据;使用setItem/getItem/removeItem操作字符串,对象需JSON序列化;存在XSS窃取、明文存储、无访问控制等安全风险。
localStorage 是浏览器提供的本地存储机制,能以键值对形式持久保存字符串数据,页面关闭后依然存在。但它不加密、不设防,**不能存敏感信息**,比如密码、token、身份证号等。
怎么用 localStorage 存取数据?
使用非常简单,核心就是三个方法:
存数据:localStorage.setItem(“key”, “value”) —— value 必须是字符串;如需存对象,先用 JSON.stringify() 转成字符串 读数据:localStorage.getItem(“key”) —— 返回字符串,对象需用 JSON.parse() 还原 删数据:localStorage.removeItem(“key”) 或 localStorage.clear()(清空全部)
localStorage 的数据有哪些安全风险?
它本身没有任何访问控制或加密能力,主要风险包括:
同源脚本可任意读写:只要在同一个协议+域名+端口下,任何 JS(包括第三方库、广告脚本、XSS 注入代码)都能读取或覆盖 localStorage 中的数据 不防 XSS 攻击:一旦页面存在 XSS 漏洞,攻击者可轻松窃取或篡改其中内容 数据明文存储:浏览器开发者工具 → Application → Local Storage 里直接可见,毫无保密性 不随请求自动发送:虽比 cookie 安全一点(不会被自动带上 HTTP 请求),但误当“安全容器”使用反而更危险
什么情况下可以放心用?
适合存非敏感、纯前端用途的临时状态数据,例如:
立即学习“Java免费学习笔记(深入)”;
用户界面偏好:主题色、字体大小、折叠菜单状态 表单草稿:未提交的长文本内容(加个过期时间逻辑更好) 离线缓存标识:标记某类资源是否已加载过 灰度开关或 A/B 测试配置(前提是不涉及权限或身份判断)
有没有更安全的替代方案?
真要存敏感信息,应避免前端本地存储:
服务端 session 或数据库:凭证类数据必须由后端生成、校验和管理 httpOnly + Secure Cookie:用于身份会话,禁止 JS 访问,降低 XSS 盗用风险 Web Crypto API(进阶):若必须前端加密再存,可用它做对称加密,但密钥管理仍是难点,一般不推荐普通业务自行实现
以上就是javascript localStorage怎样使用_它存储的数据有安全风险吗?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1543915.html
微信扫一扫 
支付宝扫一扫 
