本地儲(chǔ)存功能的重大變化在HTML標(biāo)準(zhǔn)發(fā)展中引人注目，瀏覽器從只能使用cookies到能儲(chǔ)存少量信息，如用于身份識(shí)別的會(huì)話令牌。而HTML 5標(biāo)準(zhǔn)則引入了會(huì)話儲(chǔ)存、本地儲(chǔ)存和客戶端數(shù)據(jù)庫(kù)，開(kāi)發(fā)者可以在瀏覽器中儲(chǔ)存大量數(shù)據(jù)，所有這些數(shù)據(jù)都可以通過(guò)JavaScript訪問(wèn)。

這種策略的風(fēng)險(xiǎn)在于攻擊者可以檢索或操作數(shù)據(jù)，然后被應(yīng)用程序再次使用，甚至可能上傳到服務(wù)器被用于攻擊其他人。另一個(gè)風(fēng)險(xiǎn)與第三方代碼有關(guān)，JavaScript從只能請(qǐng)求來(lái)自其所加載域名的資源，到跨站資源請(qǐng)求，允許JavaScript請(qǐng)求不同域名的資源，這項(xiàng)新功能的引入需要有嚴(yán)格的使用策略防止被濫用。

原文鏈接：http://news.cnblogs.com/n/180777/