我需要开发一个可长期离线运行的Web应用程序。为了使它可行,我无法避免将敏感数据(个人数据,而不是您将仅存储散列数据的类型)保存在本地存储中。
我接受不推荐这样做,但是我几乎没有选择要执行以下操作来保护数据:
使用斯坦福javascript密码库和AES-256将所有内容都加密到本地存储中
用户密码是加密密钥,未存储在设备上
通过ssl从单个受信任的服务器提供所有内容(在线时)
使用owasp antisamy项目验证往返服务器本地存储的所有数据
在appcache的网络部分中,不使用*,而是仅列出与受信任服务器连接所需的URI
通常,尝试应用OWASP XSS备忘单中建议的指南
我很欣赏魔鬼在细节上的细节,并且知道人们对本地存储和基于JavaScript的安全性普遍持怀疑态度。任何人都可以评论是否存在:
上述方法的根本缺陷?
有什么办法可以解决此类缺陷?
html 5应用程序必须长时间离线运行时,还有什么更好的方法来保护本地存储?
谢谢你的帮助。
皈依舞