localStorage不能存敏感信息,仅适用于非敏感前端状态数据;使用setItem/getItem/removeItem操作字符串,对象需JSON序列化;存在XSS窃取、明文存储、无访问控制等安全风险。
localStorage 是浏览器提供的本地存储机制,能以键值对形式持久保存字符串数据,页面关闭后依然存在。但它不加密、不设防,**不能存敏感信息**,比如密码、token、身份证号等。
怎么用 localStorage 存取数据?
使用非常简单,核心就是三个方法:
- 存数据:localStorage.setItem("key", "value") —— value 必须是字符串;如需存对象,先用 JSON.stringify() 转成字符串
- 读数据:localStorage.getItem("key") —— 返回字符串,对象需用 JSON.parse() 还原
- 删数据:localStorage.removeItem("key") 或 localStorage.clear()(清空全部)
localStorage 的数据有哪些安全风险?
它本身没有任何访问控制或加密能力,主要风险包括:
- 同源脚本可任意读写:只要在同一个协议+域名+端口下,任何 JS(包括第三方库、广告脚本、XSS 注入代码)都能读取或覆盖 localStorage 中的数据
- 不防 XSS 攻击:一旦页面存在 XSS 漏洞,攻击者可轻松窃取或篡改其中内容
- 数据明文存储:浏览器开发者工具 → Application → Local Storage 里直接可见,毫无保密性
- 不随请求自动发送:虽比 cookie 安全一点(不会被自动带上 HTTP 请求),但误当“安全容器”使用反而更危险
什么情况下可以放心用?
适合存非敏感、纯前端用途的临时状态数据,例如:
立即学习“Java免费学习笔记(深入)”;
- 用户界面偏好:主题色、字体大小、折叠菜单状态
- 表单草稿:未提交的长文本内容(加个过期时间逻辑更好)
- 离线缓存标识:标记某类资源是否已加载过
- 灰度开关或 A/B 测试配置(前提是不涉及权限或身份判断)
有没有更安全的替代方案?
真要存敏感信息,应避免前端本地存储:
