移动端如何防止LocalStorage数据被恶意读取?
我在开发一个电商H5页面,需要把用户ID和token存在localStorage里。但测试时发现如果用户访问过恶意页面,攻击者能通过XSS直接读取这些数据。我试过用AES加密存储值,但不确定这样够不够?
现在用的是这样的写法:localStorage.setItem('auth', encrypt(JSON.stringify({userId: 123, token: 'xxx'}))),但加密密钥存在前端代码里,感觉还是不安全。有没有更稳妥的方案?
- 1
回答
12浏览
为什么我的LocalStorage数据在页面刷新后就丢失了?
大家好,我在做表单保存功能时遇到奇怪的问题。我用localStorage.setItem('formData', form)存了对象数据,但页面刷新后取出来的数据就变成了null,这是为什么啊? 我已...
- 2
回答
39浏览
前端用localStorage存Refresh Token被恶意调用,怎么防?
我在项目里用JWT方案,把Refresh Token存在localStorage里,但测试时发现如果前端页面被XSS攻击,Refresh Token会被直接窃取。虽然Access Token设置了短时...
- 2
回答
33浏览
为什么用LocalStorage存大对象时浏览器提示内存溢出?
在项目里用localStorage.setItem('userConfig', JSON.stringify(bigObj))存了一个包含几百个表单状态的大对象,结果Chrome控制台突然报错Unca...
- 1
回答
31浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 2
回答
27浏览
localStorage存对象变成[object Object]怎么办?
在做用户设置保存时,把对象直接存到localStorage,结果查出来全是"[object Object]",这是为啥啊? 比如我写了这样的代码:localStorage.setItem('userS...
- 2
回答
26浏览
权限缓存过期后如何防止页面刷新导致权限失效?
我现在在做前端权限控制,把用户的权限列表存在localStorage里,但发现缓存过期后页面刷新就会失效。之前试过设置过期时间和自动刷新,但这样页面刷新时还是会有一段时间没有权限校验,这样会不会有安全...
- 1
回答
20浏览
前端用JWT时,如何防止Token被XSS攻击窃取?
我在项目里用localStorage存JWT token,但同事说这样容易被XSS攻击,我试过把token加密存进去,但后端验证时解密失败了。现在改成用httpOnly的cookie,但axios发请...
- 2
回答
53浏览
移动端处理大数据时,如何避免JS循环导致的页面卡顿?
最近在做移动端列表页,需要把5000条数据循环渲染成DOM节点。用了类似下面的代码后页面卡得要死,虽然用了setInterval分批处理,但还是频繁触发长任务警告。有什么更好的优化方法吗? let d...
- 2
回答
54浏览
微前端子应用间如何避免缓存数据互相污染?
在使用qianky微前端架构时,遇到两个子应用都用了localStorage缓存用户信息,但登录状态会互相覆盖。比如主应用登录后,子应用的用户信息却显示为空: const UserContext = ...
- 2
回答
42浏览
如何检测用户频繁提交表单后的异常行为?
最近在做一个用户反馈表单的安全审计,发现有人用脚本频繁提交空数据。之前用了localStorage记录提交时间,但测试时发现客户端可以轻易清除缓存绕过限制。 尝试在后端加了IP限流,但正常用户抱怨偶尔...
别在localStorage里存敏感信息,加密也没用,密钥写前端等于没加密。