【发布时间】:2011-08-09 07:55:09
【问题描述】:
我想使用会话存储在数据库中只查询一次用户数据,然后简单地使用JS来检索它,所以我正在考虑使用会话存储。我的问题是接下来,这安全吗?
请注意:
1.JS不能插入到有表单的页面(表单只接受字母数字值)所以只能来自URL
1.1 php 中不使用 www.website.com/?q=blablabla 之类的查询字符串(php 不会从 url 检索任何数据)
1.2 使用 javascript:script... 在 url 中调用 js 不是一个大问题,因为用户只能访问自己的数据,更不用说他已经可以访问它了 - 这就是用户数据点
1.3 是否有第三种方法可以通过包含 JS 的链接将用户重定向到该站点,该链接将能够访问会话存储?即:类似 - www.website.com/script...
我的猜测是,只有 1.3 之类的东西才会构成威胁(除此之外,我是否遗漏了什么?)但这真的存在吗?如果是这样,有没有办法防止它?
感谢您的时间和回复。
【问题讨论】:
-
请详细说明“安全”的含义。我假设您的意思是“它对从其他页面读取它的恶意 JavaScript 的保护有多好”?
-
@chiborg 这正是我的意思——我知道即使 JS 达到了会话存储,它也需要知道键值。此外,会话存储与域相关联。问题是关键最终可以被猜到。因此,我认为安全性主要依赖于绑定到域的会话存储(因此担心我的帖子中的 1.3)。
标签: javascript session html storage xss