網頁資料儲存安全比較

Author

JamesCT

Created Updated

Model

Gemini

Model version

3 思考型

Tags

  • 網頁安全
  • 網頁資料儲存
  • Cookie
  • Local-Storage
  • XSS攻擊
  • JWT
  • CSRF攻擊
  • 跨站請求偽造
  • Nginx
  • Set-Cookie
  • HttpOnly

Votes

Upvotes

2

Upvotes: 2

Downvotes

0

Downvotes: 0

Net votes

+2

Prompt #1

網頁私人資料的儲存安全問題, 請問如果使用local storage儲存安全嗎? 是否還有其他較為安全的方式, 請比較各種目前在趨勢上被採取的方式

Response #1

在網頁開發中,「資料該存哪裡」始終是安全與便利之間的權衡。直接回答你的問題:Local Storage 對於「敏感資料」來說是不安全的。

Local Storage 的設計初衷是為了方便開發者儲存非敏感的偏好設定,而非安全地存放私密資訊。

為什麼 Local Storage 不夠安全?

Local Storage 最致命的弱點在於它 完全暴露給 JavaScript

  • XSS 攻擊 (Cross-Site Scripting): 如果你的網站不幸存在 XSS 漏洞,攻擊者可以輕易地透過一段惡意腳本 localStorage.getItem('token') 拿走你儲存的所有資料。
  • 缺乏過期機制: 資料會永久存在硬碟中,除非手動清除,這增加了物理設備遺失後的資料洩漏風險。

黃金法則: 永遠不要在 Local Storage 儲存密碼、信用卡號、個人身份資訊 (PII) 或長期有效的 Session Token。

其他儲存方式的安全性比較

目前業界針對不同的應用場景,會採取以下幾種儲存方式:

儲存方式 安全性等級 存取限制 最適合儲存的內容 缺點
Local Storage JS 可讀取 使用者介面偏好 (主題、語言) 易受 XSS 攻擊
Session Storage JS 可讀取 暫時性的狀態 (如分頁表單) 視窗關閉即消失,仍受 XSS 威脅
Cookies (HttpOnly) JS 無法讀取 Auth Token (JWT)、Session ID 需防範 CSRF 攻擊
In-Memory (變數) 最高 僅限當前腳本 極敏感資料、短期 Token 頁面重新整理即消失
IndexedDB JS 可讀取 大量結構化數據、離線緩存 同樣受 XSS 威脅,操作複雜

目前趨勢:最安全的實踐方式

為了應對現代化的 Web 安全挑戰,開發者通常會採用以下組合方案:

1. 使用 HttpOnly 與 Secure 標記的 Cookies

這是目前儲存 身份驗證 Token 的主流標準。

  • HttpOnly: 禁止 JavaScript 存取 Cookie,徹底免疫 XSS 竊取。
  • Secure: 強制僅在 HTTPS 加密連線下傳輸。
  • SameSite: 設定為 LaxStrict 即可有效防範 CSRF (跨站請求偽造) 攻擊。

2. BFF 模式 (Backend For Frontend)

在一些高度安全的應用(如金融軟體)中,前端根本不儲存 Token。Token 儲存在後端的 Session 中,前端僅透過加密的 Session ID 與後端溝通,所有的 Token 交換都在 Server 間完成。

3. 在客戶端進行加密

如果你必須在 Local Storage 或 IndexedDB 儲存較敏感的資料(例如離線草稿),請務必先使用 Web Crypto API 進行加密,並將金鑰存放在更安全的地方(如記憶體中)。

總結建議

  1. 一般 UI 設定: 使用 Local Storage
  2. 身份驗證與登入狀態: 使用 HttpOnly Cookies
  3. 極度敏感或暫時性資料: 儲存在 JavaScript 變數 (In-Memory) 中。
  4. 防禦核心: 無論選擇哪種儲存方式,實施強大的 CSP (內容安全政策) 才是防止惡意腳本執行、保護資料的最根本手段。

你想深入了解如何配置安全 Cookie 的參數,或是如何為你的專案建立一套完整的認證儲存流程嗎?

Prompt #2

請說明如何配置安全 Cookie 的參數

Response #2

配置安全的 Cookie 不僅是為了保護使用者的登入狀態,更是為了築起一道防禦牆,抵禦常見的 Web 攻擊(如 XSS 和 CSRF)。

要配置一個「安全級別最高」的 Cookie,你需要在伺服器端回傳 Set-Cookie 標頭時,正確設定以下幾個關鍵參數:

核心安全參數詳解

1. HttpOnly (防禦 XSS 的首選)

這是最重要的參數。當設定為 HttpOnly 時,瀏覽器會禁止任何客戶端腳本(如 JavaScript)存取該 Cookie。

  • 作用: 即使攻擊者成功發動了 XSS 攻擊,他們也無法透過 document.cookie 偷走你的 Session ID 或 Token。
  • 設定建議: 必選(除非該 Cookie 真的需要被前端 JS 讀取)。

2. Secure (強制加密傳輸)

當設定為 Secure 時,該 Cookie 僅會在 HTTPS 加密連線下被傳送。

  • 作用: 防止 Cookie 在明文的 HTTP 請求中被截獲(中間人攻擊)。
  • 設定建議: 正式環境必選

3. SameSite (防禦 CSRF 的利器)

這個參數控制 Cookie 是否隨「跨站請求」發送。它有三個值:

  • Strict: 最嚴格。Cookie 僅在請求源自同一站點時發送。如果使用者點擊外部連結進入你的網站,初始請求將不帶 Cookie。
  • Lax: 預設值(現代瀏覽器)。平衡了安全與體驗。點擊外部連結進入時會帶 Cookie,但跨站的 POST<iframe> 請求則不會。
  • None: 跨站請求也會帶 Cookie。注意: 必須同時設定 Secure 標記,否則瀏覽器會拒絕。
  • 設定建議: 大多數情況建議設為 Lax;極度敏感操作(如付款)建議設為 Strict

範例:如何在程式碼中實作

以下是幾種常見環境下的配置範例:

Node.js (使用 Express)

res.cookie('sessionID', 'your-secret-token', {
  httpOnly: true,    // JS 看不到我
  secure: true,      // 只有 HTTPS 才會傳送
  sameSite: 'Lax',   // 基本防禦 CSRF
  maxAge: 3600000,   // 一小時後過期 (毫秒)
  path: '/',         // 整站有效
  domain: 'example.com' // 指定網域
});

直接設定 HTTP Header (Raw Header)

如果你是在 Nginx 或其他伺服器手動設定: Set-Cookie: sessionID=abc123; Max-Age=3600; Domain=example.com; Path=/; Secure; HttpOnly; SameSite=Lax

進階配置與限制範圍

除了安全標籤,合理的作用域限制也能減少風險:

參數 說明 安全建議
Max-Age / Expires 設定有效期限。 登入 Session 建議設定較短的過期時間,並在操作時滾動更新。
Domain 限制哪些網域可以存取。 盡量不要設定,預設為當前域名(不含子網域)最安全,防止子網域污染。
Path 限制路徑(如 /admin)。 盡量設為 /,除非你有特定路徑隔離需求。

最佳實踐檢查表

  1. 機密資訊一律加上 HttpOnly
  2. 全面啟用 HTTPS 並加上 Secure
  3. 明確設定 SameSite=LaxStrict
  4. 避免使用 Domain 屬性,除非你需要跨子網域共享登入狀態。
  5. 搭配 CSRF Token: 雖然 SameSite 很有用,但對於極敏感操作,後端仍應驗證 CSRF Token。

如果你正在處理跨網域(Cross-domain)的認證問題,需要我解釋如何正確配置 SameSite=None 嗎?

Prompt #3

請說明如何配置安全 Cookie 的參數

Response #3

這是一個非常精準的實務問題!在網頁開發的架構中,這涉及到「層級」的概念。

簡單來說:瀏覽器並不關心你是用什麼方式設定的,它只看最後抵達它那裡的 HTTP 回應標頭 (Response Header) 長什麼樣子。

如果同一個 Cookie 名稱在傳輸過程中被重複設定,優先權的邏輯通常如下:

1. 覆蓋邏輯:誰是「最後一關」誰就贏

在現代 Web 架構中,一個請求通常會經過多個層級: 應用程式 (Node.js/Python) $\rightarrow$ 反向代理 (Nginx/Apache) $\rightarrow$ CDN/防火牆 (Cloudflare) $\rightarrow$ 瀏覽器

  • 後端程式設定 vs. 伺服器設定: 如果你在 Express (Node.js) 裡設定了 res.cookie,但你的 Nginx 設定檔也針對同一個 Cookie 名稱使用了 add_header Set-Cookie ...,瀏覽器端可能會收到 兩個 Set-Cookie 標頭
  • 瀏覽器的處理方式: 大部分現代瀏覽器(如 Chrome)在面對同名的 Cookie 時,會採用 「最後讀取到的一個」。也就是說,如果標頭裡出現兩次同名 Cookie,後面出現的那組參數會覆蓋掉前面的。

2. 具體情境分析

情境 A:程式碼與伺服器設定衝突

  • 程式碼 (Node.js): 設定 SameSite=Lax
  • Nginx 配置: 設定 SameSite=Strict
  • 結果: 如果 Nginx 是在程式碼回應後才「附加」標頭,瀏覽器最後會執行 Strict

情境 B:重複設定相同的參數

如果你在程式碼中手動寫了 Set-Cookie 字串,又用了框架內建的 res.cookie 工具:

  • 這取決於該框架的實作。大多數框架(如 Express)會維護一個標頭物件,後寫入的屬性會直接覆蓋掉先前的物件屬性。

3. 為什麼「手動設定」有時感覺比較強大?

很多開發者會覺得在 Nginx 或 Cloudflare 等「基礎設施層」手動設定比較保險,原因有二:

  1. 強制性: 基礎設施層可以設定「覆蓋 (Override)」策略。它可以強行刪除後端傳來的不安全標頭,並換上安全的標頭。這能確保即便後端工程師忘了寫 HttpOnly,外層的防護網也會幫你補上。
  2. 統一性: 如果你有好幾個微服務(Java, Python, Go 混雜),在 Nginx 統一設定安全參數,比去檢查每一個服務的程式碼要簡單得多。

總結與建議

「最後贏家」原則: 離使用者(瀏覽器)越近的設定,優先權越高。

最佳實踐建議:

  • 保持單一來源: 盡量在一個地方管理 Cookie 安全設定。
  • 後端處理邏輯,前端(代理層)處理安全: 建議由後端程式決定 Cookie 的 內容 (Value)過期時間 (Expires),而由 Nginx 或 Load Balancer 統一強制加上 Secure; HttpOnly; SameSite=Lax 等安全性標籤,作為最後一道防線。

小提醒: 如果你在測試時發現設定沒生效,記得檢查瀏覽器的「Network」標籤頁,查看該請求的 Response Headers。你會在那裡看到究竟是哪一組 Set-Cookie 抵達了終點,以及它們出現的順序。

既然聊到這,你想了解如何透過 Nginx 的配置來強制統一全站的 Cookie 安全標籤嗎?這在多專案管理中非常有用。

Prompt #4

如果使用httpOnly或是in-memory的方式會有較高的安全等級, 但是否有其他可能的攻擊方式會針對這兩種方式, 該如何實作能避免可能的攻擊?

Response #4

你的觀察非常敏銳!在安全領域有一句名言:「沒有絕對的安全,只有不斷提高的攻擊成本。」

即便使用了 HttpOnly CookiesIn-Memory,攻擊者依然有「繞過」這些保護措施的方法。我們來拆解這些進階攻擊手段,以及實務上該如何防禦。

1. HttpOnly Cookies 的潛在威脅:CSRF 與 XSS 副作用

HttpOnly 雖然讓 JavaScript 拿不到 Token 字串,但它無法阻止瀏覽器「自動發送」Cookie。

攻擊方式 A:CSRF (跨站請求偽造)

  • 原理: 攻擊者誘騙使用者點擊惡意連結。由於 Cookie 是由瀏覽器管理的,當惡意網頁向你的伺服器發送請求時,瀏覽器會自動帶上 HttpOnly Cookie。
  • 後果: 攻擊者雖然不知道你的 Token 是什麼,但他們可以假冒你發送「轉帳」或「修改密碼」的請求。

攻擊方式 B:XSS 代理攻擊 (XSS Proxy)

  • 原理: 雖然攻擊者無法透過 document.cookie 偷走 Token,但如果網站有 XSS 漏洞,攻擊者可以撰寫一段腳本,直接在受害者的瀏覽器環境內調用 fetch()XMLHttpRequest
  • 後果: 瀏覽器會自動在這些請求中附帶 HttpOnly Cookie。攻擊者不需要知道 Token,只要能下指令讓你的瀏覽器做事,目的就達到了。

【防禦實作建議】

  1. SameSite 屬性: 將 Cookie 設定為 SameSite=LaxStrict。這能有效阻斷大部分跨站的 CSRF 攻擊。
  2. 抗 CSRF Token (Double Submit Cookie): 要求前端在標頭(Header)中額外帶上一個隨機生成的 Token,後端驗證該 Token 與 Cookie 是否匹配。由於攻擊者無法讀取跨站的 Header,這能完全防禦 CSRF。
  3. 自定義 Header: 要求所有敏感請求必須帶有如 X-Requested-With 的自定義 Header,這能防止簡單的 HTML <form> 提交攻擊。

2. In-Memory 儲存的潛在威脅:猴子補丁 (Monkey Patching)

In-Memory(將 Token 存存在 JS 變數中)雖然在頁面重新整理後會消失,且無法被其他標籤頁讀取,但它仍活在同一個 JavaScript 執行環境裡。

攻擊方式:攔截 API 請求 (API Interception)

  • 原理: 如果你的網站有 XSS 漏洞,攻擊者不需要讀取你的變數,他只需要「污染」瀏覽器的原生函數(這稱為 Monkey Patching)。
  • 後果: 攻擊者可以重寫 window.fetch。每當你的正常程式碼發送請求(帶有 In-Memory Token)時,攻擊者修改後的 fetch 會先偷偷把 Token 發送到攻擊者的伺服器,再繼續原本的請求。

【防禦實作建議】

  1. 閉包 (Closure) 保護: 不要將 Token 存放在全域變數(如 window.token),將它封裝在一個立即執行函數 (IIFE) 或私人模組內,讓外部腳本難以直接存取。
  2. 內容安全政策 (CSP): 這是防禦 XSS 的終極大招。透過設定 CSP 標頭,你可以限制瀏覽器只能執行來自特定網域的腳本,並禁止執行行內腳本 (inline script) 和 eval()

3. 趨勢上的「完美方案」:雙 Token 機制 (The Silent Refresh)

目前最推薦的安全實作是結合兩者的優點,並加入自動化更新:

Token 類型 儲存位置 參數 目的
Access Token In-Memory 短效期 (5-15 分鐘) 用於 API 調用,即便被攔截,很快就會失效。
Refresh Token HttpOnly Cookie 長效期 (數天) 僅用於向認證伺服器換取新的 Access Token。

運作流程:

  1. 使用者登入後,後端回傳一個 Access Token 給前端 JS 變數,並在 Cookie 植入 Refresh Token (HttpOnly)。
  2. 前端發送 API 時,使用 Access Token
  3. Access Token 過期,前端透過一個隱藏的請求(Silent Refresh)發送到認證端點。此請求會帶上 Cookie,後端驗證後回傳新的 Access Token

這種做法的優點:

  • 抗竊取: 主 Token 存記憶體,JS 拿不到 Cookie。
  • 抗 CSRF: 換取 Token 的端點可以實施嚴格的 SameSite 與來源檢查。
  • 低風險: 即使 Access Token 被攔截,其壽命極短,損害受控。

結語

安全性是一個層層堆疊的過濾網。HttpOnly 防的是「直接搬走資料」,而 CSRF TokenCSP 防的是「假冒指令」。

你想了解如何為你的開發環境撰寫一份基礎的 CSP (Content Security Policy) 配置清單嗎?這能幫你擋掉 90% 以上的 XSS 進階攻擊。

Prompt #5

Response #5

這是一個非常明智的決定!內容安全政策 (Content Security Policy, CSP) 是現代 Web 安全的最後一道防線。即便你的程式碼有漏洞,正確的 CSP 也能阻止攻擊者執行惡意腳本或偷走資料。

以下我為你整理了一份從「嚴格」到「實用」的 CSP 配置清單,以及如何在你的專案中實施它。

什麼是 CSP?

簡單來說,CSP 就像是一份「白名單」。它告訴瀏覽器:「除了我指定的這些來源(網域、路徑)之外,其他的腳本、圖片、樣式一律不准載入或執行。」

基礎 CSP 配置清單 (由嚴格到寬鬆)

你可以根據你的需求選擇適合的配置。

1. 極致安全型 (最推薦作為起點)

這個配置禁止所有外部來源,也不允許任何行內腳本(Inline Script,如 <script>alert(1)</script>)。

Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none';
  • default-src 'self': 只允許來自你自己網域的資源。
  • script-src 'self': 只執行你自己伺服器上的 JS 檔案。
  • object-src 'none': 徹底禁用 Flash 或其他插件(現代開發已不需要)。

2. 實用平衡型 (適合多數現代網站)

大多數網站會使用 Google Fonts、CDN 加載圖片或分析工具。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.scripts.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: https://images.com;
  • data:: 允許 Base64 編碼的圖片。
  • 'unsafe-inline': 允許行內 CSS(很多前端框架如 Vue/React 需要此設定),但這對 JS 來說是危險的,建議僅限於 style-src

3. 進階防護:Nonce (一次性隨機值)

如果你必須使用行內腳本,但又怕 XSS,可以使用 Nonce。

  • 伺服器端: 每次請求生成一個隨機字串(如 EDN2568)。
  • 標頭: script-src 'self' 'nonce-EDN2568';
  • HTML: <script nonce="EDN2568">...</script>
  • 結果: 攻擊者注入的腳本沒有正確的隨機值,瀏覽器會拒絕執行。

如何實施 CSP?

你有兩種主要方式可以部署這些政策:

方法 A:透過 HTTP 標頭 (推薦)

這是最安全的方式,由伺服器(Nginx, Apache, Express)直接發送。 Nginx 範例:

add_header Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'none';" always;

方法 B:透過 HTML Meta 標籤

如果你無法控制伺服器設定,可以寫在 HTML 的 <head> 裡:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self';">

實作小技巧:如何不弄壞你的網站?

直接套用嚴格的 CSP 往往會導致網站功能失效(例如某個第三方插件動不了)。你可以採取以下步驟:

  1. 先使用 Report-Only 模式: 使用 Content-Security-Policy-Report-Only 標頭。瀏覽器不會攔截任何資源,但會在開發者控制台報錯,並把違規紀錄發送到你指定的 URL。

    Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-violation-report-endpoint/

  2. 觀察控制台: 檢查哪些合法的資源被警告了,將它們加入白名單。

  3. 正式轉正: 確定沒問題後,再改回 Content-Security-Policy 正式生效。

總結:安全性組合拳

要打造一個防彈的網頁資料儲存環境,你現在擁有了:

  1. HttpOnly Cookies: 防止 Token 被 JS 搬走。
  2. SameSite=Lax: 防止 CSRF 攻擊。
  3. CSP: 防止 XSS 注入惡意腳本來操控你的頁面。

如果你想測試看看你目前的網站 CSP 設定是否及格,需要我推薦一些線上檢測工具或分析現有的配置嗎?

Prompt #6

看來都還是會有被攻擊的風險, Google Chrome瀏覽器會將使用者的密碼記錄下來, 請問主要的安全技術是如何實現的, 請詳細說明

Response #6

你觀察得非常深入。確實,沒有絕對的「無敵」系統,但 Google Chrome 的密碼管理員(Google Password Manager)之所以比我們之前討論的 localStorage 安全好幾個量級,是因為它並非單純把資料存起來,而是建立了一套結合作業系統底層硬體加密雲端同步技術的多層防護網。

以下是 Chrome 儲存密碼的核心技術細節:

1. 第一層防護:作業系統級的本地加密 (OS-level Encryption)

Chrome 雖然會把密碼存放在一個 SQLite 資料庫檔案中(通常稱為 Login Data),但裡面的密碼欄位是經過加密的二進位資料。它不是用自己的演算法,而是調用「作業系統」提供的加密 API:

  • Windows: 使用 DPAPI (Data Protection API)。這是一種與你的 Windows 使用者帳戶綁定的加密技術。只有在你登入該 Windows 帳戶時,系統才會解鎖加密金鑰。
  • macOS: 使用 Keychain (鑰匙圈)。密碼金鑰被存放在系統級的安全保險箱中,並受到系統存取控制(ACL)的保護。
  • Linux: 使用 Secret Service (Gnome Keyring)KWallet

為什麼這樣比較安全? 即便攻擊者偷走了你的 Login Data 檔案,如果他沒有你的作業系統登入密碼(或無法在你的電腦上執行程式),他也無法還原出明文密碼。這與 localStorage 最大的不同在於:localStorage 是純文字,隨便誰拿到檔案都能看。

2. 第二層防護:主金鑰加密 (Master Key / AES-256)

Chrome 在內部會生成一個強大的對稱加密金鑰(通常是 AES-256),稱為 Local State Key

  1. 當 Chrome 啟動時,它會向作業系統(如 DPAPI)請求解密這個「主金鑰」。
  2. 解密成功後,主金鑰會保留在記憶體(In-Memory)中。
  3. 當你需要自動填入密碼時,Chrome 再用這個主金鑰去解開資料庫裡的密碼。

這意味著,如果你在電腦未鎖定的情況下被植入惡意軟體,攻擊者確實可能透過調用系統 API 嘗試竊取,但這比直接讀取網頁腳本困難得多。

3. 第三層防護:同步與端對端加密 (E2E Encryption)

當你將密碼同步到 Google 帳戶時,安全性會延伸到雲端:

  • 傳輸安全: 使用 TLS 加密傳輸,防止中間人攔截。
  • 雲端儲存: Google 伺服器上的密碼是加密儲存的。
  • 裝置上加密 (On-device encryption): 這是目前的趨勢。你可以開啟「裝置上加密」選項,這時 Google 會要求你設定一個只有你知道的 Sync Passphrase (同步密碼)
  • 在這種模式下,密碼在離開你的電腦前就已經被加密,Google 官方也無法解密你的密碼,因為金鑰只存在於你的裝置上。

4. 第四層防護:生物辨識與再次驗證

為了防止「人不在座位上,電腦被別人操作」的情況,Chrome 引入了:

  • Windows Hello / TouchID 整合: 在自動填入密碼或查看密碼前,要求使用者刷臉、按指紋或輸入 PIN 碼。這確保了「發出請求的人就是電腦主人」。

5. 密碼外洩偵測 (Password Leak Detection)

這是一個主動防護技術。Chrome 會將你儲存的密碼雜湊值(Hash)與已知的黑客外洩資料庫進行比對。

  • 技術原理: 它使用一種名為「隱私集合求交 (Private Set Intersection)」的技術,讓 Chrome 可以在不把你的明文密碼傳送給 Google 的情況下,確認你的密碼是否出現在外洩名單中。

Chrome 與 Local Storage 的本質差異

特性 Local Storage Chrome 密碼管理員
加密狀態 預設為明文 (Plaintext) 強制加密 (AES-256 + OS API)
存取門檻 任何 JS 腳本皆可讀取 需作業系統權限或生物辨識
實體竊取 檔案拷貝即可讀 拷貝檔案無效,需原始系統環境
跨站保護 易受 XSS 攻擊 獨立於渲染引擎,JS 無法直接存取

總結

Google Chrome 的做法是將密碼的安全性交給更底層、更難被攻破的作業系統來守護。

雖然這已經非常安全,但目前的趨勢正在往「去密碼化」發展,也就是 Passkeys (通行金鑰)。它是利用非對稱加密(公鑰與私鑰),讓伺服器端永遠不需要存儲你的秘密。

既然你對安全性這麼感興趣,你想了解 Passkeys 是如何運作,以及它為什麼被認為是比「儲存加密密碼」更安全的終極方案嗎?

Comments

Login to add a comment.

No comments yet.