XSS(跨站点摩擦)可以覆盖站点的localstorage值吗?据我在Chrome和Firefox中验证的,另一个站点无法访问站点的局部存储值。谁能告诉我是否可以通过XSS在浏览器中的其他域中读取/写入localstorage值?
如今许多网站,添加第三方JS库进行分析,A/B测试,营销工具,热图和...您可能确定您的代码,但是如果其中一个脚本,很容易受到伤害,那么您应该期望XSS攻击很容易,在这种情况下,它可以抓住您的localstorage。不要将本地存储用于会话标识符或敏感令牌。坚持使用cookie并使用HTTPOnly并安全标志。为了防止CSRF对Cookie的攻击,几乎所有请求都包括一个或两个:Origin标头和Referer标头。通过检查API的HTTP参考器和原始标头可以部分预防CSRF。CSRF攻击将具有与您的应用程序无关的推荐人和原始标题。
javaScript来自反射的XSS或类似方法可以在XSS存在的域上执行正常JS可以做的任何事情。因此,如果example.com在localstorage中存储了东西,并且example.com也有XSS缺陷,那么XSS vuln可用于在LocalStorage中提取或覆盖用户数据。您甚至可以使用反射的XSS,该XSS使用LocalStorage的数据利用基于DOM的XS,这意味着客户端持续XSS。
Web Storage(本地和会话)遵循单个原始策略。因此,IT XSS访问Web存储是不可能的。