【发布时间】:2016-04-18 01:19:06
【问题描述】:
这不是一个问题,如果一个 Web 应用程序可以安全/可靠地使用!!
但是,如果我有一个会话或加密密钥,并且想用 javascript 在客户端尽可能地隐藏它 - 最好的方法是什么?
我想使用 sessionStorage,直到我发现任何扩展都可以从内容脚本中读取它,至少在 Chrome 中。在我看来,这是开发人员的一个大错误,因为他们从扩展程序中隐藏了网页 javascript,但允许它查看网络存储。到处都说扩展只能看到 DOM,但我不认为大多数人认为这也包括网络存储!
那么,如何保护会话密钥,使其远离扩展程序?无法加密它,因为我只需要隐藏密钥。问题是会话必须对站点的所有页面都有效,所以我不能只将它保存在 javascript 中,因为它在每个页面加载时都会刷新。
在我看来,cookie 一样糟糕!
注意:不知道其他浏览器是否也是这个问题
【问题讨论】:
标签: javascript security session google-chrome-extension web-storage