Q&A
前置き
SPAでフロント側でAPIのレスポンスをキャッシュさせたい場合について質問をさせて下さいませ。
質問で不明点がありましたら、コメント欄からお伝え頂けると嬉しいです。
質問
質問1
ユーザーログインが必須なサービスを私が勤務している会社では開発・運営しているのですが、localStorageにAPIのレスポンスをキャッシュする場として使うのは、セキュリティー的にOKなのでしょうか?
徳丸本の中には、localStorageにはユーザーの個人情報に関するデータを保存すべきではないと記載があったのですが、これは、何かアプリケーションコードに脆弱性があった場合、そこから、localStorageのデータを抜かれる可能性があるから危ないよということでしょうか。。。
localStorageに登録されているkeyを全て表示するメソッドも特にないようなので、localStorageから第3者がデータを抜き取るということは難しいように感じましたが、localStorageでキャッシュするのはログイン必須のサービスの場合は、やめた方が良いでしょうか?
質問2
Service WorkerはIE11に対応していないため、私が勤務しているところでは利用不可なのですが、Service Workerが仮に使えるとした場合、localStorageと違って、APIレスポンスをキャッシュする場として使っても安全なのでしょうか?
質問3
現在、検討しているキャッシュの方法は、localStorageのように永続化は出来ないけど、セッション中は同じAPIのレスポンスを使いまわせるように、メモリー内、または、VuexのstoreやReduxのstoreに保存しておく方法を検討しておりますが、どのくらいのデータ量まで保存出来るものなのでしょうか?
利用者の環境依存になると思うのですが、利用者の環境が保持出来るデータ量を超えた場合、単に溢れた分が消えていくだけで済むのでしょうか?それとも、何かアプリケーションエラーが発生し、動かなくなったりするのでしょうか?(※ウェブサービスの話となります)
回答2件
0
ベストアンサー
セキュリティに関してはどこまでやっても完璧は無いので難しいと思いますが、
localStorageやindexedDBに個人情報やログイン情報などを保存する場合、
暗号化して保存し、キーの管理はサーバーサイドで行うなどをすることで
機材の紛失や盗難などに備えることが出来ます。
投稿2020/01/20 16:11
総合スコア657
0
localStorageに登録されているkeyを全て表示するメソッドも特にないようなので
いえ、Storage.prototype.key(num)というメソッドがあります(MDN)。これを使えば、どんなキーがあるかの取得も可能です。
投稿2020/01/13 07:51
総合スコア145184
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。