Lưu trữ webLưu trữ web (localStorage/sessionStorage) là có thể truy cập thông qua JavaScript trên cùng một tên miền. Điều này có nghĩa rằng bất kỳ JavaScript chạy trên trang web của bạn sẽ có thể truy cập để lưu trữ web, và bởi vì điều này có thể được dễ bị tổn thương để cross-site scripting (XSS) tấn công. XSS, tóm lại, là một loại tổn thương nơi một kẻ tấn công có thể tiêm JavaScript mà sẽ chạy trên trang web của bạn. Cơ bản nỗ lực tấn công XSS để tiêm JavaScript thông qua các hình thức đầu vào, nơi mà những kẻ tấn công đặt alert('You are Hacked'); thành một hình thức để xem nếu nó được chạy bởi trình duyệt và có thể được xem bởi người dùng khác.Để ngăn ngừa XSS, các phản ứng phổ biến là để thoát khỏi và mã hóa tất cả dữ liệu không đáng tin cậy. Nhưng điều này là xa những câu chuyện đầy đủ. Trong năm 2015, ứng dụng web hiện đại sử dụng JavaScript được lưu trữ trên CDNs hoặc cơ sở hạ tầng bên ngoài. Ứng dụng web hiện đại bao gồm các thư viện JavaScript bên thứ 3 cho A / B thử nghiệm, phân tích kênh/thị trường, và quảng cáo. Chúng tôi sử dụng quản lý gói như Bower để nhập khẩu các dân tộc khác mã vào ứng dụng của chúng tôi.Nếu chỉ có một kịch bản mà bạn sử dụng là thỏa hiệp? JavaScript độc hại có thể được nhúng trong trang, và lưu trữ Web là thỏa hiệp. Những loại tấn công XSS có thể nhận được tất cả mọi người của Web lưu trữ mà truy cập vào trang web của bạn, mà không có kiến thức của họ. Điều này có lẽ là lý do tại sao một bó của các tổ chức tư vấn không để lưu trữ bất cứ thứ gì có giá trị hoặc tin tưởng bất kỳ thông tin nào trong trang web lưu trữ. Điều này bao gồm các từ định danh của phiên họp và thẻ.Là một cơ chế lưu trữ, lưu trữ Web không thi hành bất kỳ tiêu chuẩn an toàn trong quá trình chuyển giao. Bất cứ ai đọc Web lưu trữ và sử dụng nó phải làm do siêng năng của họ để đảm bảo chúng luôn gửi JWT qua HTTPS và không bao giờ HTTP.
đang được dịch, vui lòng đợi..