在sessionStorage中更新项in会带来安全风险吗?
在sessionStorage中更新项in会带来安全风险吗?
提问于 2020-03-21 14:35:13
我一直在一家eCommerce商店工作,以便人们能够购买商品。我想为这家商店实现一个篮子系统。
在我看来,使用sessionStorage/localStorage技术在客户端存储数据显然存在一定的安全风险,这可能导致XSS攻击或在某些客户端上不能正常工作。我的目标是当用户向篮子中添加一个项目时,能够存储一个与项目相关的ID。
我不会仅仅存储项目ID,而是存储任何价格数据或其他信息,然后在服务器端从会话存储中获取项目ID,它将从ID匹配的会话数据中进行交叉引用。
虽然我觉得自己很了解安全风险,但我应该采取不同的方法,还是可以使用sessionStorage呢?如果使用某种加密方法,使项目ID在前端不被直接知道,然后在后端解码,会有用吗?我的网站正在使用快速节点。
回答 1
Security用户
发布于 2020-03-21 16:57:34
这取决于它们究竟是如何使用的。
你应该问自己的问题是:
- 如果用户修改ID,风险是什么?
- 通过修改ID,用户是否可以访问他们不应该访问的任何项(如果需要,是否在服务器端验证了ID,是否检查了授权)?
- 应用程序是否准备好处理无效输入(例如,当需要一个数字时给一个字符串)?
- 数据是否被显示给其他用户,如果是,它是否被验证/消毒?
- 如果应用程序使用数据库,那么ID是否在允许注入的SQL查询中结束?
如果你能回答上面的问题而不提出任何担心,那么你很可能会没事。只需像对待其他不受信任的用户输入一样对待该字段,并确保任何验证最终都发生在服务器端。
如果没有任何东西可以通过强制使用的I来学习或获得,我看不出有什么理由混淆它们。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/227614
复制相关文章
相似问题
腾讯云开发者
