xss(跨站点脚本)可以覆盖站点的本地存储值吗?据我在 chrome 和 firefox 中验证,其他站点无法访问站点的 localstorage 值。谁能告诉我 localstorage 值是否可以通过 xss 从浏览器中的不同域读取/写入?
问问题
6106 次
3 回答
3
现在许多网站,添加第三方 js 库用于分析、A/B 测试、营销工具、热图和......在这种情况下,它可以获取您的 localStorage。不要将本地存储用于会话标识符或敏感令牌。坚持使用 cookie 并使用HTTPOnly和 Secure 标志。为了防止对 Cookie 的 CSRF 攻击,几乎所有的请求都包含以下一项或两项:OriginHeader 和RefererHeader。通过检查 API 中的 HTTP Referer 和 Origin 标头可以部分防止 CSRF。CSRF 攻击将具有与您的应用程序无关的 Referer 和 Origin 标头。
于 2016-05-23T05:48:16.130 回答
1
来自反射型 XSS 或类似的 Javascript 可以做任何普通 JS 可以在 XSS 存在的域上做的事情。因此,如果 example.com 已将内容存储在 localStorage 中,并且 example.com 也存在 XSS 漏洞,则该 XSS 漏洞可用于提取或覆盖 localStorage 中的用户数据。您甚至可以使用反射型 XSS,它使用来自 localStorage 的数据来利用基于 DOM 的 XSS,这意味着客户端持久性 XSS。
于 2012-12-19T14:48:22.740 回答
0
Web 存储(本地和会话)遵循单一来源策略。所以它无法通过 XSS 访问 Web 存储。
于 2012-12-27T05:46:18.197 回答