在HTML5本地存儲出現以前，WEB數據存儲的方法已經有很多，比如HTTP Cookie，IE userData，Flash Cookie，Google Gears。其實再說細點，瀏覽WEB的歷史記錄也算是本地存儲的一種方式。到目前為止，HTML5本地存儲方式已經獲得了廣泛的支持，其中支持的瀏覽器包括：IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+，手機平臺包括iPhone 2+和Android 2+。最新的HTML5本地存儲規范文檔，可以在線查看http://dev.w3.org/html5/webstorage/

    HTML5本地存儲的前身就是Cookie，通過使用localStorage對象將WEB數據持久留存在本地。相比較而言，HTML5本地存儲中每個域的存儲大小默認是5M，比起Cookie的4K要大的多。而且存儲和讀取數據的代碼極為簡練： 

    那么現在我們是否可以簡單的認為，HTML5存儲已經可以代替Cookie存儲了呢？還有這種新的存儲方式在實際應用中帶來了哪些新的安全風險呢？帶著這些疑問我們來進行下面的討論。 

• 是否可以代替Cookie 

    瀏覽器使用Cookie進行身份驗證已經好多年，既然現在localStorage存儲空間那么大，是否可以把身份驗證的數據直接移植過來呢？目前來看，把身份驗證數據使用localStorage進行存儲還不太成熟。我們知道，通常可以使用XSS漏洞來獲取到Cookie，然后用這個Cookie進行身份驗證登錄。后來為了防止通過XSS獲取Cookie數據，瀏覽器支持了使用HTTPONLY來保護Cookie不被XSS攻擊獲取到。而目前localStorage存儲沒有對XSS攻擊有任何抵御機制，一旦出現XSS漏洞，那么存儲在localStorage里的數據就極易被獲取到。

    如果一個網站存在XSS漏洞，那么攻擊者注入如下代碼，就可以獲取使用localStorage存儲在本地的所有信息。  

     攻擊者也可以簡單的使用localStorage.removeItem(key)和localStorage.clear()對存儲數據進行清空。 

• 不要存儲敏感信息

    從（1）中知道，從遠程攻擊角度來看，localStorage存儲的數據容易被XSS攻擊獲取，所以不宜把身份驗證信息或敏感信息用localStorage存儲。而從本地攻擊角度來看，localStorage自身的存儲方式和存儲時效并不宜存儲敏感信息。

    五大瀏覽器現在都已經支持以localStorage方式進行存儲，其中Chrome,Opera,Safari這三款瀏覽器中都有了查看本地存儲的功能模塊。但是不同瀏覽器對localStorage存儲方式還是略有不同的。以下是五大瀏覽器localStorage存儲方式：  

     通過上面的描述可以看出，除了Opera瀏覽器采用BASE64加密外（BASE64也是可以輕松解密的），其他瀏覽器均采用明文存儲數據。

     另一方面，在數據存儲的時效上，localStorage并不會像Cookie那樣可以設置數據存活的時限，只要用戶不主動刪除，localStorage存儲的數據將會永久存在。

     根據以上對存儲方式和存儲時效的分析，建議不要使用localStorage方式存儲敏感信息，那怕這些信息進行過加密。

• 嚴格過濾輸入輸出

    對于本地存儲，為了方便加載數據，常常會把數據存儲在本地，等再次加載時，直接從本地讀取數據顯示在網頁上。在某些情況下，在localStorage存儲中寫入或讀取數據的時候，如果數據沒有經過輸入輸出嚴格過濾，那么這些數據極可能被作為HTML代碼進行解析，從而產生XSS攻擊。

    Twitter就發生過localStorage XSS漏洞。此漏洞觸發的條件是，在Twitter的個人主頁上執行以下存儲代碼后，每次再打開個人主頁時就會彈出/xss/框。 

    從這段代碼可以看出，Twitter會使用localStorage方法把一些個人數據存儲到本地，每次加載個人主頁面的時候就會從本地存儲獲取數據，然后由于Twitter忽略了對去除數據的嚴格過濾，導致存儲的代碼會被當作HMTL編碼執行，進而發生跨站攻擊。

    有關Twitter localStorage XSS 漏洞詳的細信息可以查看：http://www.wooyun.org/bugs/wooyun-2010-03075。雖然Twitter這個漏洞利用起來非常困難，但它再一次告訴我們：本著一切輸入輸出都是有害的原則，要對數據進行嚴格的輸入輸出過濾。

• 容易遭受跨目錄攻擊

    localStroage存儲方式不會像Cookie存儲一樣可以指定域中的路徑，在localStroage存儲方式中沒有域路徑的概念。也就是說，如果同一個域下的任意路徑存在XSS漏洞，整個域下存儲的數據在知道存儲名稱的情況下都可以被獲取到。 

    假設下面兩個鏈接是使用localStorage來存儲數據： 

    用戶xisigr和xhack各自的blog鏈接雖然屬于同一個域，但卻有不同的路徑，一個路徑為xisigr，另一個路徑為xhack。假設xisigr用戶發現自己的路徑下存在存儲型XSS漏洞，那么就可以在自己的blog中加入獲取數據代碼，其中核心代碼為localStorage.getItem(“name”)。xhack用戶并不需要登錄blog,他只要訪問http://h.example.com/xisigr，本地存儲數據就會被獲取到。 

• 容易遭受DNS欺騙攻擊

    Google在沒有使用HTML5本地存儲前，是使用Google Gears方式來進行本地存儲的。那時Google Gears就遭到過DNS欺騙攻擊。Google Gears支持離線存儲，可以把Gmail,WordPresss這樣的網站數據以SQLite數據庫的形式存儲下來，以后用戶就可以對存儲的網站數據進行離線讀取或刪除操作。如果攻擊者發動DNS欺騙攻擊，那么就可以注入本地數據庫，獲取數據或者留下永久的后門，造成對用戶持久的危害。Google Gears所遭受的DNS欺騙攻擊方式在HTML5本地存儲上也是同樣有效的。 

• 惡意代碼棲息的溫床

    在第六點中給出“惡意代碼棲息的溫床”這個小標題有些夸大的效果。其實這里想說的是，HTML5本地存儲在空間上和時間上都將成為今后存儲的趨勢，料想“惡意代碼們”自然會大雁南飛轉移棲息到這張溫床上。

     那么，何為HTML5本地存儲的空間和時間呢？空間這里指的是存儲空間，比起Cookie 4K空間的微小來說，HTML5的localStroage方法默認就可以使瀏覽器存儲5M空間可以說是博大，而Safari瀏覽器可以支持到500M更加讓HTML5存儲霸氣外露。時間上，隨著HTML5技術日漸成熟，除了各大瀏覽器廠商爭先在自己的產品中支持HTML5外，一些大應用軟件廠商也對其信賴有加。比如2011年11月Adobe宣布放棄手機上的FLASH，而由HTML5全面取而代之。隨著時間的推移，HTML5大步流星的前行速度也會越來越快，也會使得用到HTML5本地存儲的應用會越來越多。

     上面從理論上分析了“惡意代碼棲息的溫床”的可能性。而從實際技術上的可行性也非常簡單。下面是在本地留后門的核心代碼： 

   以上分析，均出自天融信TopLAB前沿安全實驗室的研究，希望借此文讓HTML5的本地存儲安全問題得到大家的廣泛重視。HTML5非常精彩，但也存在風險，我們要做的工作還很多。