abc.com에서 호스팅되는 웹 페이지에 xyz.com이라는 호스트가있는 JS를 삽입하면 xyz.com/test.js가 abc.com에 설정된 모든 키 - 값을 읽고 쓸 수있는 것 같았습니다. 거대한 보안 구멍으로 간주되지 않습니까? 사이트에서 Google 애널리틱스와 같은 제 3 자 JS를 사용할 계획이라면 localstorage에 사용자의 중요한 정보를 저장하지 말아야합니까? 여기 타사 JS가 자사의 localstorage에 액세스 할 수 있습니까?
은 예입니다 - window.Test가답변
이 사이트는 사용자 민감한 정보를 저장하지하는 것이 좋습니다 JS 타사에 선언 https://jsfiddle.net/kuldeepk/eqawezd6/1/
localStorage.setItem('first-party', 'first-party'); window.Test.setKeyValue('third-party', 'third-party') console.log(window.Test.getKey('first-party')) console.log(localStorage.getItem('third-party'));
지옥 없음, 사용하지 않고 사용중인 타사 JS
js 또는 html의 모든 내용은 로컬 저장소 또는 프런트 엔드의 다른 위치에 관계없이 사이트를 방문하는 모든 사용자가 읽을 수 있습니다.
F12을 누르기 만하면 전체 프런트 엔드 소스 코드를 볼 수 있습니다.
예 그 부분을 이해합니다. 내가 정확히 사용자 이름/비밀 번호 종류의 물건을 언급하지만, 심지어 일반적인 응용 프로그램 관련 데이터,이 데이터가 제 1자를 알지 않고 타사 js에 의해 변조 될 수있는 것 같지 않아. 쿠키가있는 경우에는 해당되지 않습니다. 나는이 전체 루프 구멍에 의해 당황 스럽다. –
쿠키도 읽을 수있다. @KuldeepKapade. 질문 아래 blex '바이올린을 클릭하십시오. – baao
이 예에서 쿠키는 동일한 도메인에 설정됩니다. abc.com에 설정된 쿠키는 xyz.com에서 읽을 수 없습니다. –
- 1. iOS 앱의 localStorage에 액세스
- 2. Windows 스토어 앱에서 사용자가 localStorage에 액세스 할 수 있습니까?
- 3. 크롬 확장에서 사이트의 localStorage에 액세스 할 수 있습니까?
- 4. Outlook 2016 데스크톱 클라이언트에서 localStorage에 액세스 할 수 있습니까?
- 5. localStorage에 PhoneGapp 앱 설정을 저장할 수 있습니까?
- 6. ionic for ios 10에서 localStorage에 액세스 할 수 없습니다.
- 7. Android 7에서 Cordova WebView의 localStorage에 액세스 할 수 없습니까?
- 8. 타사 스크립트가 localhost의 웹 사이트 파일에 액세스 할 수 있습니까?
- 9. 타사 앱이 다른 앱의 알림에 액세스 할 수 있습니까?
- 10. 타사 프로그램에 도킹 할 수 있습니까?
- 11. VBA : InternetExplorer 개체에서 LocalStorage에 액세스
- 12. R에서 타사 .dll을로드 할 수 있습니까?
- 13. 타사 클래스를 pointcut 할 수 있습니까?
- 14. 타사 어셈블리를 다시 서명 할 수 있습니까?
- 15. PHP가 타사 CLI를 명령 할 수 있습니까?
- 16. Cordova 앱의 LocalStorage에 기본값을 설정할 수 있습니까?
- 17. File 객체를 localstorage에 저장할 수 있습니까?
- 18. popup.html의 입력 데이터를 localStorage에 저장할 수 있습니까?
- 19. XMLHttpRequest 데이터를 localStorage에 저장할 수 있습니까?
- 20. api_key없이 Facebook API에 액세스 할 수 있습니까?
- 21. localStorage에 액세스 할 때 다른 사용자가 iPad에서 QUOTA_EXCEEDED_ERR을 수신합니까?
- 22. localStorage에 너무 많은 의존성이 있습니까?
- 23. 콘텐츠 스크립트에서 옵션 페이지 localStorage에 액세스
- 24. 타사 라이브러리 방법에 액세스
- 25. 웹보기에 액세스 할 수 있습니까?
- 26. xml을 액세스 할 수 있습니까?
- 27. 모두 액세스 할 수 있습니까?
- 28. Windows Forms App에서 HTML5 로컬 저장소에 액세스 할 수 있습니까?
- 29. 앱이 자사의
- 30. Yammer 타사 응용 프로그램 액세스
예, 페이지에로드 된 모든 JS는 페이지의 도메인에서 쿠키 및 localStorage에 액세스 할 수 있습니다. 이것이 중요한 데이터를 브라우저에 저장하지 않아야하는 이유 중 하나입니다. 반드시 서버 측에서 암호화하고 서버 측에서 해독해야합니다. 프랑스에는 사용자의 동의없이 데이터를 로컬에 저장하는 것을 금지하고 사용자 전자 메일, 암호 등의 암호화되지 않은 중요한 데이터를 저장하는 법이 있습니다. – blex
흥미 롭습니다. 브라우저가이 보안 허점을 허용하는 이유는 무엇이며, 쿠키는 이와 동일한 디자인 결함을 겪지 않습니다. –
_ "쿠키는이 같은 설계상의 결함이 없습니다"_? https://jsfiddle.net/scwo1ba9/ – blex