当我在abc.com上的网页上嵌入一个托管在xyz.com上的JS时,xyz.com/test.JS似乎可以读取和写入abc.com和abc.com设置的所有键值。这难道不是一个巨大的安全漏洞吗?当你计划使用任何第三方JS(如谷歌分析)时,是否建议网站不要在本地存储中存储任何用户敏感信息?
下面是一个例子-https://jsfiddle.net/kuldeepk/eqawezd6/1/
localStorage.setItem('first-party', 'first-party');
window.Test.setKeyValue('third-party', 'third-party')
console.log(window.Test.getKey('first-party'))
console.log(localStorage.getItem('third-party'));
window.Test在第三方JS 中声明
是否建议网站不要存储任何用户敏感信息
地狱不,与您的不使用任何第三方JS
js或html中的所有内容都可以被访问您网站的每个人读取,无论它是在本地存储中还是在前端的其他地方。
只需按F12,查看stackoverflow提供的整个前端源代码。