localStorage怎么用？数据安全吗？

本篇文章给大家分享《JavaScript localStorage怎么用？数据安全吗？》，覆盖了文章的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

localStorage不能存敏感信息，仅适用于非敏感前端状态数据；使用setItem/getItem/removeItem操作字符串，对象需JSON序列化；存在XSS窃取、明文存储、无访问控制等安全风险。

localStorage 是浏览器提供的本地存储机制，能以键值对形式持久保存字符串数据，页面关闭后依然存在。但它不加密、不设防，**不能存敏感信息**，比如密码、token、身份证号等。

怎么用 localStorage 存取数据？

使用非常简单，核心就是三个方法：

• 存数据：localStorage.setItem("key", "value") —— value 必须是字符串；如需存对象，先用 JSON.stringify() 转成字符串
• 读数据：localStorage.getItem("key") —— 返回字符串，对象需用 JSON.parse() 还原
• 删数据：localStorage.removeItem("key") 或 localStorage.clear()（清空全部）

localStorage 的数据有哪些安全风险？

它本身没有任何访问控制或加密能力，主要风险包括：

• 同源脚本可任意读写：只要在同一个协议+域名+端口下，任何 JS（包括第三方库、广告脚本、XSS 注入代码）都能读取或覆盖 localStorage 中的数据
• 不防 XSS 攻击：一旦页面存在 XSS 漏洞，攻击者可轻松窃取或篡改其中内容
• 数据明文存储：浏览器开发者工具 → Application → Local Storage 里直接可见，毫无保密性
• 不随请求自动发送：虽比 cookie 安全一点（不会被自动带上 HTTP 请求），但误当“安全容器”使用反而更危险

什么情况下可以放心用？

适合存非敏感、纯前端用途的临时状态数据，例如：

• 用户界面偏好：主题色、字体大小、折叠菜单状态
• 表单草稿：未提交的长文本内容（加个过期时间逻辑更好）
• 离线缓存标识：标记某类资源是否已加载过
• 灰度开关或 A/B 测试配置（前提是不涉及权限或身份判断）

有没有更安全的替代方案？

真要存敏感信息，应避免前端本地存储：

• 服务端 session 或数据库：凭证类数据必须由后端生成、校验和管理
• httpOnly + Secure Cookie：用于身份会话，禁止 JS 访问，降低 XSS 盗用风险
• Web Crypto API（进阶）：若必须前端加密再存，可用它做对称加密，但密钥管理仍是难点，一般不推荐普通业务自行实现

好了，本文到此结束，带大家了解了《localStorage怎么用？数据安全吗？》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！