Q&A
ファイルの編集者がLocal Storageに保存してあるデータを見る分には何の問題もないですが、よく考えたら共有PCの場合非常にヤバイですね。XSS云々ではなくディベロッパーツールから普通に見れてしまうので方法を変える必要がありそうです。
回答ありがとうございます!
ログインせずにブラウザでマークダウンファイルを編集したり上書きできるWebアプリを開発しています。
Local Storageに編集データを
javascript
1{ 2 title : hogehoge 3 body : hogehogehogehogehogehoge 4}
の形式で保存しようと考えているのですが、XSS攻撃などの懸念でLocal Storageそのものの使用をやめるべきという記事やサイトも多いので、こういう他人に見せることを想定していないデータを保存するべきかどうか悩んでいます。マークダウンエディターなのでHTML形式の入力ももちろん可能で、それについてはエスケープ処理で対応しようと考えていますが、このLocal Storageのデータを抜き出される可能性はあるのでしょうか?
回答3件
0
titleとbodyが画面上にも表示されるものであれば、XSSで同じ内容が漏洩するのでLocalStorageに保存して危険性は変わりませんが、いかがでしょうか?
投稿2020/08/23 08:15
総合スコア11705
0
ベストアンサー
Local Storageのデータを抜き出される可能性はあるのでしょうか?
開発者コンソールの Application タブを選び、localStorage を選ぶと、誰でも閲覧できます。
ですので、「他人に見せることを想定していないデータ」かどうかよりも、「画面に表示(他者に露見)される内容かどうか」で選ぶべきでしょう。
どうせ文字列しか格納できない localStorage なので Base64 で符号化する方法はポピュラーです。
(符号化によってデータサイズは約1.3倍に増えます)
投稿2020/08/23 22:39
総合スコア5434
0
基本的な対処はしている前提ですか?
Local Storageのデータを抜き出される可能性
サードパーティのJSをCDNやJS提供元のサイトから直接読み込んでおり尚且つ読み込み先が乗っ取られていてlocalstrageの情報をどこかしらに送信するスクリプトに改造されている場合
なのでサードパーティ製のスクリプトを使う時はDLして自前のサーバーから読み込むようにする事で前述の懸念は無くなります
投稿2020/08/23 10:57
総合スコア6426
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/08/23 08:22
2020/08/23 23:05 編集
2020/08/23 23:44
2020/08/28 05:07