将用户数据存储在 localStorage 中安全吗？-js教程-PHP中文网

首页

web前端

js教程

将用户数据存储在 localStorage 中安全吗？

Mary-Kate Olsen

Nov 20, 2024 pm 01:47 PM

É seguro guardar dados do usuário no localStorage?

开发 Web 应用程序时，经常需要在浏览器中存储用户数据以改善体验或保持状态持久性。但为此使用 localStorage 安全吗？让我们探讨风险、最佳实践和安全替代方案。

什么是本地存储？
localStorage 是一个浏览器 API，允许您在客户端简单且持久地存储数据。与 sessionStorage 不同，即使用户关闭并重新打开浏览器，保存在 localStorage 中的数据仍然可以访问。

虽然它是一个实用的工具，但其简单性带来了一些安全限制。

场景：用户身份验证
假设您有一个使用 Supabase 来验证用户身份的应用程序。登录后，您希望在浏览器中存储用户信息，如下例：

async function checkAuth() {
  try {
    const { data, error } = await supabase.auth.getUser()
    if (error) throw error

    if (data.user) {
      user.value = data.user
      localStorage.setItem('user', JSON.stringify(data.user)) // Armazenando o usuário
      console.log('Usuário autenticado:', data.user)
    } else {
      localStorage.removeItem('user')
    }
  } catch (error) {
    console.error('Erro ao verificar autenticação:', (error as Error).message)
  }
}

这个想法看起来很简单：将用户对象保存在 localStorage 中以便稍后使用。但这种方法安全吗？

使用 localStorage 的风险

暴露于恶意脚本 (XSS) 使用 localStorage 时最大的安全问题是它可以被页面上运行的任何脚本访问。这包括可以通过 XSS（跨站脚本）攻击注入网站的恶意脚本。

例如，如果攻击者设法将以下代码注入您的页面：

console.log(localStorage.getItem('user'))

他们将有权访问存储的数据，包括有关用户的敏感信息。

数据未加密
localStorage 将数据存储为纯文本。这意味着任何有权访问用户设备的人都可以打开浏览器控制台并直接查看保存的信息。
不会自动过期
与 cookie 不同，localStorage 没有自动使数据过期的内置机制。这可能会导致不必要地存储旧的或过时的信息。

更安全的替代方案

信任 Supabase 会议 Supabase 已经通过安全 cookie 和 JWT 令牌管理身份验证会话。无需将用户对象保存到 localStorage。

您可以随时使用以下方法检查用户会话：

const { data, error } = await supabase.auth.getUser()

使用 sessionStorage
如果需要在浏览器中存储数据，请考虑使用sessionStorage。它仅在浏览器选项卡或窗口打开时保留数据。这可以降低设备被盗时暴露的风险，但不能防止 XSS。
仅保存非敏感数据
如果您需要在 localStorage 中持久保存，请避免存储敏感信息，例如访问令牌或个人数据。仅保存通用信息，例如用户标识符：

async function checkAuth() {
  try {
    const { data, error } = await supabase.auth.getUser()
    if (error) throw error

    if (data.user) {
      user.value = data.user
      localStorage.setItem('user', JSON.stringify(data.user)) // Armazenando o usuário
      console.log('Usuário autenticado:', data.user)
    } else {
      localStorage.removeItem('user')
    }
  } catch (error) {
    console.error('Erro ao verificar autenticação:', (error as Error).message)
  }
}

实施针对 XSS 的保护为了降低 XSS 风险，请实施以下安全实践：

使用严格的内容安全策略 (CSP) 来防止未经授权的脚本。
验证并清理所有用户输入。
使依赖项和库始终保持最新。

加密数据如果必须使用localStorage，可以在存储之前对数据进行加密。这增加了额外的安全层，尽管它并不能完全消除风险。

CryptoJS 示例：

console.log(localStorage.getItem('user'))

注意：请务必保护好加密密钥，否则将危及安全。

结论
虽然 localStorage 是浏览器中存储数据的实用工具，但对于敏感数据来说它并不理想。以下是主要建议：

由 Supabase 管理的信任会话。
避免将敏感信息保存到 localStorage。
实施良好的安全实践，例如 XSS 保护。
通过这些实践，您可以确保用户体验流畅，同时保护您的数据免受攻击。

你觉得怎么样？你的项目中使用localStorage吗？在评论中分享您的经验！

以上是将用户数据存储在 localStorage 中安全吗？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

JavaScript的角色：使网络交互和动态Apr 24, 2025 am 12:12 AM

JavaScript是现代网站的核心，因为它增强了网页的交互性和动态性。1)它允许在不刷新页面的情况下改变内容，2)通过DOMAPI操作网页，3)支持复杂的交互效果如动画和拖放，4)优化性能和最佳实践提高用户体验。

C和JavaScript：连接解释Apr 23, 2025 am 12:07 AM

C 和JavaScript通过WebAssembly实现互操作性。1）C 代码编译成WebAssembly模块，引入到JavaScript环境中，增强计算能力。2）在游戏开发中，C 处理物理引擎和图形渲染，JavaScript负责游戏逻辑和用户界面。

从网站到应用程序：JavaScript的不同应用Apr 22, 2025 am 12:02 AM

JavaScript在网站、移动应用、桌面应用和服务器端编程中均有广泛应用。1)在网站开发中，JavaScript与HTML、CSS一起操作DOM，实现动态效果，并支持如jQuery、React等框架。2)通过ReactNative和Ionic，JavaScript用于开发跨平台移动应用。3)Electron框架使JavaScript能构建桌面应用。4)Node.js让JavaScript在服务器端运行，支持高并发请求。

Python vs. JavaScript：比较用例和应用程序Apr 21, 2025 am 12:01 AM

Python更适合数据科学和自动化，JavaScript更适合前端和全栈开发。1.Python在数据科学和机器学习中表现出色，使用NumPy、Pandas等库进行数据处理和建模。2.Python在自动化和脚本编写方面简洁高效。3.JavaScript在前端开发中不可或缺，用于构建动态网页和单页面应用。4.JavaScript通过Node.js在后端开发中发挥作用，支持全栈开发。