javascript localStorage怎样使用_它存储的数据有安全风险吗？-js教程-PHP中文网

javascript localStorage怎样使用_它存储的数据有安全风险吗？

狼影

发布： 2025-12-19 16:20:03

原创

285人浏览过

localStorage不能存敏感信息，仅适用于非敏感前端状态数据；使用setItem/getItem/removeItem操作字符串，对象需JSON序列化；存在XSS窃取、明文存储、无访问控制等安全风险。

javascript localstorage怎样使用_它存储的数据有安全风险吗？

localStorage 是浏览器提供的本地存储机制，能以键值对形式持久保存字符串数据，页面关闭后依然存在。但它不加密、不设防，**不能存敏感信息**，比如密码、token、身份证号等。

使用非常简单，核心就是三个方法：

存数据：localStorage.setItem("key", "value") —— value 必须是字符串；如需存对象，先用 JSON.stringify() 转成字符串
读数据：localStorage.getItem("key") —— 返回字符串，对象需用 JSON.parse() 还原
删数据：localStorage.removeItem("key") 或 localStorage.clear()（清空全部）

它本身没有任何访问控制或加密能力，主要风险包括：

同源脚本可任意读写：只要在同一个协议+域名+端口下，任何 JS（包括第三方库、广告脚本、XSS 注入代码）都能读取或覆盖 localStorage 中的数据
不防 XSS 攻击：一旦页面存在 XSS 漏洞，攻击者可轻松窃取或篡改其中内容
数据明文存储：浏览器开发者工具 → Application → Local Storage 里直接可见，毫无保密性
不随请求自动发送：虽比 cookie 安全一点（不会被自动带上 HTTP 请求），但误当“安全容器”使用反而更危险