HTML5 Web 数据库安全

Question

我正在研究使用 HTML5 的离线 Web 应用程序解决方案。 该功能是我需要的一切，但存储的数据可以直接在浏览器中查询，因此完全不安全！

是否有办法加密/隐藏以使数据安全？

谢谢， D .

Answer 1

如果您将数据存储在用户的计算机上，则无论您对数据进行多少加密，用户始终可以读取它[假设您没有使用哈希...]

敏感数据始终位于服务器端。

Answer 2

HTML5 中的本地存储有两个问题 -

1. 一个网站读取另一个网站存储在用户浏览器中的离线数据
2. 最终用户直接查询您网站的离线数据

1、浏览器对 localStorage（或 sqllite 数据库）强制实施同域限制支持 safari），因此其他网站将无法访问您存储的数据。但是，请记住，如果您的网站存在 XSS 漏洞，则有可能窃取数据。

对于2，你无法阻止它。它就像一个cookie——用户可以选择查看/删除/修改它。

数据加密是可能的（请参阅http://farfarfar.com/scripts/encrypt/），但是无意义。您不能拥有单个全局密钥/密码 - 因为攻击者可以轻松地从 JavaScript 代码中找出密钥。使用用户输入的密码进行加密/解密是可能的，但客户端加密库还不够成熟或测试得不够好。可能有很多方法可以打破它。

因此，至少现在不要将敏感数据存储在 localStorage 中。

Answer 3

您还可以查看文章HTML5 SecureStore Porposal 的作者对这个问题的关注