localStorage怎么用？数据安全吗？

从现在开始，我们要努力学习啦！今天我给大家带来《JavaScript localStorage怎么用？数据安全吗？》，感兴趣的朋友请继续看下去吧！下文中的内容我们主要会涉及到等等知识点，如果在阅读本文过程中有遇到不清楚的地方，欢迎留言呀！我们一起讨论，一起学习！

localStorage不能存敏感信息，仅适用于非敏感前端状态数据；使用setItem/getItem/removeItem操作字符串，对象需JSON序列化；存在XSS窃取、明文存储、无访问控制等安全风险。

localStorage 是浏览器提供的本地存储机制，能以键值对形式持久保存字符串数据，页面关闭后依然存在。但它不加密、不设防，**不能存敏感信息**，比如密码、token、身份证号等。

怎么用 localStorage 存取数据？

使用非常简单，核心就是三个方法：

• 存数据：localStorage.setItem("key", "value") —— value 必须是字符串；如需存对象，先用 JSON.stringify() 转成字符串
• 读数据：localStorage.getItem("key") —— 返回字符串，对象需用 JSON.parse() 还原
• 删数据：localStorage.removeItem("key") 或 localStorage.clear()（清空全部）

localStorage 的数据有哪些安全风险？

它本身没有任何访问控制或加密能力，主要风险包括：

• 同源脚本可任意读写：只要在同一个协议+域名+端口下，任何 JS（包括第三方库、广告脚本、XSS 注入代码）都能读取或覆盖 localStorage 中的数据
• 不防 XSS 攻击：一旦页面存在 XSS 漏洞，攻击者可轻松窃取或篡改其中内容
• 数据明文存储：浏览器开发者工具 → Application → Local Storage 里直接可见，毫无保密性
• 不随请求自动发送：虽比 cookie 安全一点（不会被自动带上 HTTP 请求），但误当“安全容器”使用反而更危险

什么情况下可以放心用？

适合存非敏感、纯前端用途的临时状态数据，例如：

• 用户界面偏好：主题色、字体大小、折叠菜单状态
• 表单草稿：未提交的长文本内容（加个过期时间逻辑更好）
• 离线缓存标识：标记某类资源是否已加载过
• 灰度开关或 A/B 测试配置（前提是不涉及权限或身份判断）

有没有更安全的替代方案？

真要存敏感信息，应避免前端本地存储：

• 服务端 session 或数据库：凭证类数据必须由后端生成、校验和管理
• httpOnly + Secure Cookie：用于身份会话，禁止 JS 访问，降低 XSS 盗用风险
• Web Crypto API（进阶）：若必须前端加密再存，可用它做对称加密，但密钥管理仍是难点，一般不推荐普通业务自行实现

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《localStorage怎么用？数据安全吗？》文章吧，也可关注golang学习网公众号了解相关技术文章。