移动端用 LocalStorage 存用户信息安全吗?
我最近在做一个移动端的 Vue 项目,登录后把用户 token 和一些基本信息存到了 LocalStorage 里,方便页面刷新后还能保持登录状态。但听说 LocalStorage 很容易被 XSS 攻击窃取,心里有点慌。
我试过改用 sessionStorage,但用户一关浏览器就没了,体验不好。也看过一些文章说可以用 HttpOnly Cookie,但我们的 API 是跨域的,配置起来有点麻烦。现在不确定到底该怎么处理才既安全又实用。
这是我现在存数据的代码:
const userInfo = {
token: 'abc123xyz',
userId: '1001',
name: '张三'
};
localStorage.setItem('user', JSON.stringify(userInfo));
- 1
回答
42浏览
LocalStorage 缓存用户数据后页面刷新就失效了?
我在做一个简单的用户登录状态保持功能,把 token 存到 LocalStorage 里,但每次刷新页面后读取不到,或者读出来是 null。明明之前 setItem 成功了,控制台也没报错,是不是我读...
- 1
回答
49浏览
移动端如何防止LocalStorage数据被恶意读取?
我在开发一个电商H5页面,需要把用户ID和token存在localStorage里。但测试时发现如果用户访问过恶意页面,攻击者能通过XSS直接读取这些数据。我试过用AES加密存储值,但不确定这样够不够...
- 1
回答
17浏览
localStorage 存对象为啥取出来变成字符串了?
我在用 localStorage 存一个用户对象,结果再取出来的时候发现它变成了字符串,直接访问属性就报错了。明明存的是对象啊,咋回事? 我试过这样存:localStorage.setItem('us...
- 2
回答
12浏览
LocalStorage缓存数据在Vue中怎么避免重复请求?
我用localStorage缓存了用户信息,但每次刷新页面还是会重新请求接口,明明缓存里已经有数据了,是不是哪里写错了? 我试过在created里判断localStorage有没有user,有就直接用...
- 2
回答
16浏览
前端加密后存 localStorage 安全吗?
我最近在做用户敏感信息的本地存储,尝试用 CryptoJS 把数据 AES 加密后再存到 localStorage。但听说 localStorage 本身不安全,就算加密了也可能被 XSS 拿到密钥?...
- 1
回答
19浏览
Application面板里localStorage数据不更新是怎么回事?
我在React组件里用useEffect往localStorage存了个用户ID,但打开DevTools的Application面板看,Local Storage里还是空的,明明代码执行了也没报错,这...
- 1
回答
29浏览
JWT 存在 localStorage 会被 XSS 攻击吗?
我最近在项目里用 JWT 做用户认证,把 token 存在了 localStorage 里,但听说这样容易被 XSS 攻击偷走。我试过改成存 cookie,但又担心 CSRF 问题,到底该怎么安全地存...
- 1
回答
53浏览
Access Token 存储在 LocalStorage 安全吗?遇到跨域请求被泄露怎么办?
我在做用户登录功能时把 Access Token 放在了 LocalStorage,但测试跨域请求时突然出现错误:“Failed to load resource: Preflight respons...
- 2
回答
38浏览
localStorage存对象变成[object Object]怎么办?
在做用户设置保存时,把对象直接存到localStorage,结果查出来全是"[object Object]",这是为啥啊? 比如我写了这样的代码:localStorage.setItem('userS...
- 1
回答
16浏览
Token 存 localStorage 安全吗?为什么登录后还能被 CSRF 攻击?
我最近在做登录功能,后端返回的 token 我直接存到了 localStorage 里,每次请求手动加到 Authorization 头。但听说这样容易被 XSS 拿走,而且好像还是防不住 CSRF?...
移动端 WebView 环境相对桌面浏览器稍微安全一点,因为 App 里的 WebView 通常不会跑第三方脚本,但如果你 WebView 里加载了不可信的 H5 页面,该不安全还是不安全。
跨域 + HttpOnly Cookie 麻烦这事儿确实存在,但也不是没解。你可以试试在后端设置 SameSite=Lax(或者 None + Secure),前端用 credentials: 'include' 配合 fetch/axios,这样跨域也能带 Cookie,虽然配置门槛比纯前端方案高点,但安全性提升是实打实的。
如果你图省事继续用 LocalStorage,可以加几个缓解措施:access token 有效期设短点(比如 30 分钟),用 refresh token 机制定期换 token;敏感操作(比如支付、修改密码)二次验证别省;用户长时间不活跃( 比如 24 小时)主动让 token 失效。这些不能杜绝 XSS,但能缩小被攻击后的损失。
最后实在纠结的话,移动端还有个曲线救国方案:用 Native Storage(Capacitor/Ionic 那个 @ionic/storage 或者 react-native 的 AsyncStorage),数据存在 App 原生层,WebView 里的 JS 根本碰不到,安全性比 LocalStorage 高一截。不过得看项目有没有条件引入这些库。
总结一下:LocalStorage 不是不能用,但别把它当保险箱用;能上 HttpOnly Cookie 就上,不能上就做好 token 轮换 + 敏感操作二次验证这套组合拳。