欢迎访问 licqi IT技术
我们一直在努力

从html5的新特性定位安全问题

公司这边的在线客服系统遇到了点安全问题,分析了开发的方案:

因为是web的聊天系统,聊天记录一般会存在html的dom里,存在客户端,每次打开还能看到聊天的历史记录,以前腾讯的web qq就是这么实现的,但是问题是这样以来,dom会被撑的很大,加载起来就会变慢,一定量甚至会造成浏览器崩溃,同时也想过用cookie存,但是毕竟cookie这东西太大了就不太好了。于是采用了另一种办法是采用h5提供的客户端存储数据的一种新方法(web storage)

  • localStorage – 没有时间限制的数据存储

还有一种是

  • sessionStorage – 针对一个 session 的数据存储

localStorage的效果就是你关闭浏览器后,再次打开计数器依然不变,因为是记录在本地的


localstorage




if (localStorage.pagecount)
	{
	localStorage.pagecount=Number(localStorage.pagecount) +1;
	}
else
	{
	localStorage.pagecount=1;
	}
document.write("Visits: " + localStorage.pagecount + " time(s).");



刷新页面会看到计数器在增长。

请关闭浏览器窗口,然后再试一次,计数器会继续计数。

如果使用sessionStorage就不一样了。因为是基于会话记录的,关闭了,计数器就没了。。。换成聊天的话,你的聊天记录也就没了。。。所以不太适合我们的需要。。。


sessionstorage




if (sessionStorage.pagecount)
	{
	sessionStorage.pagecount=Number(sessionStorage.pagecount) +1;
	}
else
	{
	sessionStorage.pagecount=1;
	}
document.write("Visits " + sessionStorage.pagecount + " time(s) this session.");



刷新页面会看到计数器在增长。

请关闭浏览器窗口,然后再试一次,计数器已经重置了。

但是由于localStorage存在客户端,所以不能分配太大的空间,我们给他分配了5M空间,并且周期性的清除localstorage,这里定位了一个安全问题,发送消息的接口是没有加密的,于是我写了一个python的程序模拟发送消息,一会这个消息就在清除之前写满了,溢出了,所以接口要做加密限制,不能暴露在外,还要限制接口的请求频率等。

写下这篇做个记录。。。

赞(0) 打赏
未经允许不得转载:licqi IT技术 » 从html5的新特性定位安全问题
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏