本地儲存功能的重大變化在HTML標(biāo)準(zhǔn)發(fā)展中引人注目，瀏覽器從只能使用cookies到能儲存少量信息，如用于身份識別的會話令牌。而HTML 5標(biāo)準(zhǔn)則引入了會話儲存、本地儲存和客戶端數(shù)據(jù)庫，開發(fā)者可以在瀏覽器中儲存大量數(shù)據(jù)，所有這些數(shù)據(jù)都可以通過JavaScript訪問。

這種策略的風(fēng)險在于攻擊者可以檢索或操作數(shù)據(jù)，然后被應(yīng)用程序再次使用，甚至可能上傳到服務(wù)器被用于攻擊其他人。另一個風(fēng)險與第三方代碼有關(guān)，JavaScript從只能請求來自其所加載域名的資源，到跨站資源請求，允許JavaScript請求不同域名的資源，這項新功能的引入需要有嚴(yán)格的使用策略防止被濫用。

原文鏈接：http://news.cnblogs.com/n/180777/