《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》——1.4　Web存储

本节书摘来自华章计算机《Web应用漏洞侦测与防御：揭秘鲜为人知的攻击手段和防御技术》一书中的第1章，第1.4节,作者：(美) 希马(Shema, M.)著， 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.4　Web存储

20世纪90年代末，许多网站被定性为大规模数据库的HTML前端。Google早期的主页自豪地宣布已经收集了十亿个页面。今天，Facebook已经存储了大约一亿人的数据。现代的网站能够处理PB级规模的数据集，比十年前增长了几个数量级。过去的口号是“网络即计算机”，现在的趋势是“云计算”和“软件即服务”，这都表明网络为中心的数据存储仍将持续。
这并不意味着Web开发人员想要把所有数据保存在以网络服务器为前端的数据库中。把数据存储转移到浏览器中有很多好处，包括带宽、性能、存储成本。HTTP Cookie一直是浏览器存储的主力，然而，cookie在数量（每个域最多20个）、大小（每个cookie 4KB）和安全性（没有用处的path属性）上有局限，这些限制主要是由浏览器制造商所采纳的，而不是标准规定的。
Web存储的目的是使用跨浏览器的标准API来在浏览器中为Web开发人员提供存储大量数据的机制。Web存储的主要特性类似于HTTP Cookie：数据通过键值对保存，Web存储对象可以分为sessionStorage或者localStorage（类似于会话和持久cookie）。
存储对象中的键和值是JavaScript字符串。sessionStroage对象与浏览上下文绑定。例如，两个不同的浏览器标签页会有独立的sessionStroage对象，对其中一个sessionStorage的修改不会影响另外一个。localStroage对象的内容对所有浏览器标签页都是可访问的，在一个标签页中修改键值对将会影响每个标签页的存储。在上述情况中，访问都受同源策略的限制。
Web存储安全性一个重要的方面是数据可以被用户查看和修改（参见图1.1）。

下面的代码演示了通过循环来枚举存储对象的键的常见模式。

最后，请记住下面这些安全方面的考虑。就像本章大部分内容一样，重点在于Web应用程序如何使用HTML5技术，而不是浏览器在该技术的实现或设计中产生的漏洞。
有机会便清理数据，即为敏感数据设定适当的生命周期。因为浏览器的关闭并不意味着sessionStorage对象中的数据会被删除。应用程序可能会在一段时间后（当然是在浏览器运行期间）或在beforeunload事件中（或onclose事件，只要确实是由浏览器触发的）删除数据。
记住放置在存储对象中的数据和使用cookie的数据有着相同的暴露风险。它的安全性依赖于浏览器的同源策略、浏览器的补丁程度、插件、底层操作系统。对存储对象数据加密的安全性与对cookie加密的安全性一样。把解密密钥放置到存储对象（或者发送到浏览器）会降低被加密数据的安全性。
把sessionStorage对象的生命周期和“会话”的概念联系在一起是一种弱安全依赖。现代浏览器会在它们关闭之后甚至是系统重启后重新建立会话。因此，两种类型的Web存储对象的生命周期在安全性方面就没有多少区别。
考虑将要存储到Web存储对象中的数据的隐私性和敏感性，不要把存储大量数据的能力理解成存储更敏感数据的能力。
做好被攻破的准备：在Web存储对象所位于的域内执行的HTML注入攻击，将会有能力获取该对象中的数据。当你选择要保存在浏览器中的数据的种类时，要把这个因素考虑进去（第2章会介绍HTML注入攻击）。
HTML5并不会使你的站点更加安全。像< iframe>沙盒和Origin标头等特性都是增进安全性设计的好方法。然而，配置不当的代理可能会将标头去除，陈旧的浏览器可能不支持上述特性，数据验证不充分使得恶意内容能够篡改Web页面，以上这些都会使得上述措施失效。
IndexedDB
IndexedDB API有自己的规范（http://www.w3.org/TR/IndexedDB/），同WebStorage API不同。它的状态还不够固定，而且支持它的浏览器也比较少，但从概念角度而言，它同WebStorage类似，都是为浏览器提供数据存储机制。因此，同WebStorage相关的安全性和隐私性方面的考虑也适用于IndexedDB。
IndexedDB和WebStorage的主要区别是IndexedDB的键值对不局限于JavaScript字符串。键可以是类型为Array、Date、float或String的对象，值可以是HTML5的“按结构复制（structured clone）”算法所支持的任何对象。按结构复制是比JSON更加灵活的序列化方法。例如，它能够处理Blob对象（WebSocket的重要方面）以及递归的、自引用对象。在实际应用中，这意味着IndexedDB可以存储更复杂的数据类型。