如您所知,IndexedDB和Cookie都用于Web浏览器上持久存储。
与Cookie相关的安全任务有几个方面,分别是Session Fixation或Session Hijacking,攻击者通常使用以下方法来实现这些方面。
我一直在做一些关于IndexedDB安全性的研究。但是,关于这方面的文档并不多。
我的问题是:
- 当我使用IndexedDB而不是cookie时,我会面临同样的安全任务吗?为什么?
- 如何使IndexedDB更安全?
如您所知,IndexedDB和Cookie都用于Web浏览器上持久存储。
与Cookie相关的安全任务有几个方面,分别是Session Fixation或Session Hijacking,攻击者通常使用以下方法来实现这些方面。
我一直在做一些关于IndexedDB安全性的研究。但是,关于这方面的文档并不多。
我的问题是:
2条答案
按热度按时间ej83mcc01#
当我使用IndexedDB而不是cookie时,我会面临同样的安全任务吗?为什么?
考虑到cookie随 request 发送到服务器,而IndexedDB仅在页面加载后读取。
如果你确实找到了一些资源,其中有比我更有知识的人讨论了你提出的问题,请在这里与他们回应。
g6baxovj2#
IndexedDB(以及任何其他客户端存储)的一个主要缺点是,您可以在cookie上设置
httpOnly,它只会在请求中发送(使用document.cookie的JavaScript无法访问)。对于任何客户端可访问的存储(包括没有
httpOnly的cookie),您的页面(XSS)上的恶意JS都可能会窃取它们(是否担心恶意JS取决于您和您的威胁模型)。