Html5 客户端存储安全

HTML 5 在客户端存储上的内容更丰富，更强大了，比如cookie只能存4k的内容，而HTML5标准里，可以存数十M都没有问题。

在未来可能很多隐私数据都会保存在客户端，这其实也提高了风险。

在html5中的客户端存储有3个

Session Storage
Local Storage(ex Global Storage)
Database Storage

做了点小笔记。

和cookie类似，在新的html 5中使用的是 Session Storage，不过它的生效时间不再由程序员指定了。

Session Storage没有path字段，所以相对cookie能针对某个目录的设计而言，这种设计在安全上反而是削弱了。

Global Storage 比较危险，属于全局保存的数据，能跨全域，不过目前ff2 ff3和ie8都严格限制了这一点。

database storage目前还只有webkit支持，用的是sqlite。

未来FF和IE肯定也会加入对它的支持，不知道会不会也用sqlite。

如果使用了Database storage，那就还会存在客户端注射的风险。

一般情况下，需要知道字段名才能去操作，不过paper的作者提出可以用遍历的方法来获取字段名，类似遍历：window.sessionStorage