Web客户端数据存储安全风险分析.docVIP

Web客户端数据存储安全风险分析 　　摘 要： Web客户端数据是指Web应用在Web客户端保存的数据。其存储机制已经从最初仅存储ID值的Cookies发展到能够保存重要个人信息的客户端数据库。Web客户端数据存储的发展，给Web应用和终端用户都带来了新的安全风险。文章介绍了客户端数据存储的不同技术，分析了客户端数据存储的安全风险，给出了防范这些安全风险的措施和建议。 　　关键词： Web应用； Web客户端数据存储； 安全风险； 应对策略 　　中图分类号：TP309.5 文献标志码：A 文章编号：1006-8228（2012）12-06-02 　　Risk analysis of Web client-end data storage 　　Yang Jianqiang， Fang Lei 　　（School of Mathematics and Computer Science， Hubei University of Arts and Science， Xiangyang， Hubei 441053， China） 　　Abstract： Web client-end data is a kind of data that is stored in client’s terminals by Web application. The storage mechanisms have changed from Cookies that simply store the ID value， to the client-end database that can store important personal information. With the development of client-end data storage， new risks for both Web applications and end users have appeared. In this paper， different technologies available for client-side data storage are described， the risks associated with client-side data storage are analyzed， and the effective countermeasures and suggestions to prevent these risks are given. 　　Key words： Web application； Web client-side data storage； security risk； countermeasure 　　0 引言 　　Web客户端数据是指由Web应用发起的、并由浏览器或浏览器插件执行和控制的、在Web用户的系统上保存的数据，这些数据大多与Web用户有关。自从采用简单的Cookies作为HTTP的状态管理机制以来，Web站点就开始在用户的系统上保存数据。为了满足Web应用的需求，后来出现了新的Web客户端数据存储技术。这些新技术常常使用其他存储机制，比如数据库，并且一般提供比Cookies更多的存储容量。Web客户端数据存储技术的发展和广泛采用，给Web应用带来了新的安全风险。比如客户端数据损坏、客户端数据泄露、客户端XSS和SQL注入等。这些风险会影响到Web应用的安全与可靠运行。 　　1 Web客户端数据存储技术 　　目前存在多种Web客户端数据存储技术，除了Cookies，还有微软的IE UserData和Silverlight、Adobe的Flash、Oracle的Java，以及与HTML 5有关的Web SQL数据库（Web SQL Database）、Web存储（Web Storage）、索引数据库API（Indexed Database API）等。在这些存储技术中，Cookies被所有的浏览器支持。其他技术则仅在部分浏览器中得到支持，并且有的技术还需要安装相应的浏览器插件才可以使用，如Flash。 　　为了防止不同的Web应用读取彼此的数据，上述所有的存储技术都采用了同一来源策略机制。来源通常由主机名（如）、端口号，以及传输协议等界定。浏览器会记录所有Web客户端数据的来源。当某个Web应用访问本地存储的数据（即Web客户端数据）的时候，浏览器将检查该Web应用的来源和被访问数据的来源，只有当二者匹配的时候才允许访问[1]。 　　大多数Web客户端数据存储技术并不指定数据在客户端的保存期限，因此数据将一直保存在用户系统上，除非主动删除它们。不过Cookies是一个例外，它允许指定数据的到期时间。另外，不