IndexedDB与Cookie安全

Question

如您所知，IndexedDB和Cookie都用于在web浏览器上进行持久存储。

Cookie相关的安全任务有一些方面，如会话固定或会话劫持。攻击者经常使用以下方法来实现这些目标。

• 跨站点脚本(XSS)
• 跨站点请求伪造(CSRF)
• 中间的男人(MitM)

我一直在研究IndexedDB的安全性。然而，关于这方面的文件却不多。

我的问题是：

• 当我使用IndexedDB而不是cookie时，我会面临同样的安全任务吗？为什么？
• 如何使IndexedDB更安全？

Answer 1

当我使用cookie的IndexedDB整数时，我会面临相同的安全任务吗？为什么？

考虑一下，cookie是通过请求发送到服务器的，而IndexedDB只在加载了一次页面之后才被读取。

如果你确实找到了一些比我更有见识的人讨论过你提出的问题的资源，请在这里与他们回应。

Answer 2

IndexedDB (和任何其他客户端存储)的一个主要缺点是，您可以在cookie上设置httpOnly，并且它只能在请求中发送( JavaScript不能用document.cookie访问)。

使用任何客户端可访问的存储(包括没有httpOnly的cookies )，您可能容易受到恶意JS在页面上(XSS)窃取它们的攻击(取决于您和您的威胁模型，无论您是否关心恶意JS)。