是否可以对 HTML5 应用程序缓存应用任何保护或限制？

Question

（顺便说一句，我指的是应用程序缓存/清单；不是本地存储。）假设

我只希望特定用户能够使用应用程序缓存。当他们登录我的网站时，根据他们的权限，该网站会告诉浏览器获取清单。客人和没有特权的人无权查看清单。

为了规避此问题，恶意用户可以从其他用户的浏览器数据文件夹复制应用程序缓存文件，或直接下载清单文件。

有什么办法可以防止这种情况发生吗？有什么内置机制吗？

Answer 1

为了规避这一点，恶意用户
可以复制应用程序缓存文件
来自另一个用户的浏览器数据
文件夹...

仅可物理访问计算机，或者计算机已受到严重危害。但对于这些类型的攻击没有保护措施。当前的浏览器应该将应用程序缓存充分隔离到特定域。根本不允许跨域访问。

...或直接下载清单
文件。

如果您有权访问服务器端，那么您可以在用户登录时自动生成清单。这样，每个清单对于用户来说都是唯一的，并且对于没有适当权限访问您的站点的任何人来说，不会存在可以直接下载的清单。

...有任何内置机制吗？

applicationCache 没有内置的安全机制。我在我的离线应用程序中考虑了这一点，我看到的唯一安全措施是缓存文件的加密。客户端加密不太理想，但您可以加密缓存文件的内容，并需要密钥在应用程序/页面启动时解密它们。上次我对此进行研究时，一些斯坦福大学学生提供的 JS 加密库是我发现的最好的。