国外网友另类方式曝主流浏览器HTML5 bug:localStorage可占满硬盘

最新推荐文章于 2024-08-15 20:33:20 发布
原创 最新推荐文章于 2024-08-15 20:33:20 发布 · 113 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。

HTML5Web存储标准允许网站存储大量数据,但存在滥用风险。主流浏览器如Chrome、Safari和IE尚未完全遵循W3C关于限制子域名存储的规定,导致理论上可无限存储。原文作者提供了概念验证Demo并呼吁修复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HTML5 Web存储标准是设计为让站点可以存储比Cookie(4KB)大的多的数据(比如5-10MB)来制定的。现在,localStorage已经发展的非常不错,在所有现代浏览器中都得到了支持(Chrome, Firefox 3.5+, Safari 4+, IE 8+,等等)。

\

然而,纵使Chrome的版本号已经逼近30,IE也已然发布了他的第十代产品,这个标准却仍未完美。国外网友Feross Aboukhadijeh在他的个人博客上,发布了一个搞怪的API——HTML5 Hard Disk Filler™。通过这个API,他想告诉大家,其实这项功能在主流浏览器中还有着非常明显的问题。

\

W3C标准早就预料到,可能会有网站可能会滥Web存储特性。在标准里,W3C建议浏览器为每个域设置一个存储空间上限。所以,实际情况是这个样子的:

\
  • Chrome中的每个域可以使用2.5 MB\
  • Mozilla Firefox和Opera中的每个域可以使用5 MB\
  • Internet Explorer中的每个域可以使用10 MB\

但是,如果站长们比较聪明,使用了很多诸如1.filldisk.com、2.filldisk.com、3.filldisk.com这样的子域名会怎么样?每个子域名都会有5MB的存储空间吗?W3C标准表示这是不可以的:

\
\

User agents应该阻止站点通过附属网站的形式来存储数据,比如通过使用a1.example.com、a2.example.com、a3.example.com这样的子域名来绕过主域名的存储限制。

\

通常来讲,我们建议给予一个强制的5MB存储限制。

\
\

然而,Chrome、Safari,和IE目前还没有实现这些诸如对“附属站点”进行存储限制的功能。所以,那些聪明的网站,比如FillDisk.com,实际上可以通过这个方式,在每个访问用户的电脑上获得几乎无限的存储空间。

\

一个概念证明的demo

\

原文作者提供了一个漂亮的demo:FillDisk.com 来作为证明此概念的demo。并且他还将这个demo开源在了GitHub上。

\

这个demo的特性有:

\
  • 充满Chrome、Safari(iOS与桌面版本)和IE用户的硬盘;\
  • 在装配有SSD的Macbook Pro Retina上,占领1GB只需要16秒;\
  • Chrome25、Safari6、IE10测试通过;\
  • 在像Chrome这样的32-bit的浏览器下,硬盘充满之前浏览器就会先被搞崩溃;\
  • Firefox测试失败,因为Firefox完美实现了localStorage的标准;\
  • 还提供了一个清除磁盘占用空间的按钮。\

各位不妨一试。

\

如何修正这个Bug?

\

作者在天才般的搞怪结束之后,变得正经起来,给出了Google和Apple的bug report链接:

\

但是他也表示,IE怎么办呢?因为IE的bug report页面坏掉了。

\

原文中有很多有趣的浏览,感兴趣的读者可以移步至英文原文。当然,也欢迎大家对此Bug以及这位国外友人的曝Bug方式在此留言讨论。

浏览器存储策略解析:LocalStorage,SessionStorage,Cookie,Session从理论到实战(一)cookie
m0_74117421的博客
10-17 1097
打开我们的检查面板,在应用的存储中能看到这些项目:他们大部分长成数据库的形状,想必都是用来存储数据的吧。但是这么多我们该怎么存,谁存誰呢,这就值得一说了。
浏览器存储策略解析:LocalStorage,SessionStorage,Cookie,Session从理论到实战(二)从cookie到LocalStorage
m0_74117421的博客
10-18 853
上节说到,由于用户状态管理需求以及会话,用户追踪需求等,我们由没有状态记录功能,仅仅作为信息展示手段的服务器端存储发展到cookie存储。但是cookie毕竟是互联网早期产物,受时代以及互联网技术水平限制,对于各种需求的考虑只能说是有但不多。
localStorage值的最大大小是多少?
热门推荐
asdfgh0077的博客
01-17 1万+
由于localStorage (当前)仅支持将字符串作为值,并且为了做到这一点,需要先将对象进行字符串化(存储为JSON-string),然后才可以定义值的长度限制。 有谁知道是否存在适用于
客户端可以修改html,html – 客户可以修改localStorage吗?
weixin_30110543的博客
06-07 451
我正在尝试使用localStorage作为cookie替换(恶意cookie),以便用户可以在我运营的网站上保持登录状态.我到目前为止计划的是将用户的用户名保存在localStorage中,并让站点检查是否有任何东西在localStorage中,如果有任何东西在localStorage中,它会通过POST将localStorage数据推送到PHP文件并将用户推送到启动一个新的PHP会话并将它们返回...
检测某一个网页下localStorage的剩余容量
weixin_34362875的博客
08-02 993
使用localStorage很久了,虽然知道它的容量在不同的浏览器下为5M-10M,突然想知道怎么去判断自己写的WebApp应用下的localStorage剩余容量。 平时用JSON.stringify(localStorage).length,和最大容量比较下,能估算出大概用了多少。具体使用方法: if(window.localStor...
深入浅出 localStorage 存储:浏览器本地存储的利器
weixin_63490470的博客
08-15 4242
localStorageHTML5 中引入的一种新的本地存储机制,它允许网页在用户浏览器中存储键值对数据,并且这些数据在浏览器关闭后仍然可以保留。localStorage 存储为开发者提供了在客户端存储数据的便捷方式,可以用于缓存数据、保存用户偏好、实现离线功能等,极大地提升了 Web 应用的性能和用户体验。
HTML5前端存储方式全面解析:localStorage、sessionStorage、离线缓存
localStorage允许永久性地在用户浏览器中存储大量数据,最多可达每个域名5MB。数据不会因为浏览器关闭而丢失,除非手动清除。它通过键值对的形式存储数据,支持的主要API有:getItem、setItem、removeItem、key和...
HTML5 Web存储方式localStorage和sessionStorage进行数据本地存储案例应用
12-14
使用HTML5 Web存储的localStorage和sessionStorage方式进行Web页面数据本地存储。 页面参考如下图,能将页面上的数据进行本地存储。并能读取存储的数据显示在页面上。 localStorage(本地存储),可以长期存储数据,...
localStorage灵魂五问。 5M空间?? 10M !!!
程序员成长指北
01-07 886
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群灵魂五问localStorage 存储的键值采用什么字符编码5M 的单位是什么loca...
一次被Chrome“坑“了的奇怪登出bug解决
xslmyl的博客
04-05 566
问题发现 我在调试一个功能时,发现总会莫名其妙的退出,但是后台并没有打印任何主动登出的日志。于是我问前端的同事是怎么回事,结果前端的同事也说并没有主动执行任何登出操作。 这个问题存活了一晚上+一上午。 解决过程 首先在后台注释了所有主动登出的代码,没有解决这个问题 更换浏览器,发现火狐和ie和edge浏览器,都没有此问题 我们发现更前版本(我们产品的版本)的也有此问题,但是没有人提出这个bug ...
另类过滤外国浏览者
成长之路
09-13 768
作为一些版权网站,不希望给非本国的人浏览,通常常见的做法是采用全网过滤器过滤访问者的IP,比如典型的youku就是在浏览视频前分析访问者的IP,如果是海外用户则提示所在地区无法播放,然后记录下来。 原创文章,欢迎转载,请保留出处。 有任何错误、疑问或者建议,欢迎指出。 我的邮箱:Maxwell_nc@163.com
localStorage使用总结
weixin_33675507的博客
06-26 5460
一、什么是localStorage、sessionStorage 在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,解决了cookie存储空间不足的问题(cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器localStorage会有所不同。   二、localStorag...
基于VMD-Attention-LSTM的时间序列预测模型(代码仅使用了一个较小数据集的训练及预测,内含使用使用逻辑,适合初学者观看,模型结构是可行的,有能力的请尝试使用更大的数据集训练)
08-23
资源下载链接为: https://pan.quark.cn/s/f4901605d35f (最新版、最全版本)基于VMD-Attention-LSTM的时间序列预测模型(代码仅使用了一个较小数据集的训练及预测,内含使用使用逻辑,适合初学者观看,模型结构是可行的,有能力的请尝试使用更大的数据集训练)
MATLABSimulink扩频通信系统仿真:BPSKQPSK调制与WalshmGold序列的误码率分析及GUI设计
08-23
基于MATLAB/Simulink平台的扩频通信系统仿真研究。主要内容包括构建扩频通信系统的仿真模型,应用BPSK和QPSK调制技术,使用Walsh、m序列和Gold序列进行扩频处理,生成并分析信号波形图,计算误码率,并设计了用户友好的GUI界面。通过这些步骤,研究人员可以深入了解扩频通信系统的性能特点及其抗干扰能力。 适合人群:从事通信工程领域的科研人员和技术开发者,尤其是对扩频通信技术和MATLAB/Simulink有初步了解的人群。 使用场景及目标:①用于教学和培训,帮助学生掌握扩频通信系统的理论知识和实际操作技能;②为科研项目提供技术支持,验证不同调制方式和扩频码对系统性能的影响;③辅助产品开发,优化通信设备的设计。 其他说明:文中提供了详细的建模方法和具体的实现步骤,附带m源代码,便于读者理解和复现实验结果。
Day09_随堂笔记.pdf
08-23
Python进阶
MATLAB中深度神经网络多特征输入单输出分类模型的实现与可视化
最新发布
08-23
内容概要:本文档详细介绍了如何在MATLAB中实现深度神经网络(DNN)的多特征输入单输出分类模型,涵盖二分类和多分类任务。文档提供了详细的代码注释,指导用户从数据导入、预处理到模型构建、训练以及最终的预测和效果评估全过程。此外,还展示了如何利用MATLAB内置函数生成分类效果图、迭代优化图和混淆矩阵图,帮助用户直观地理解和评估模型性能。 适合人群:具有一定MATLAB编程基础的研究人员和技术爱好者,尤其是那些希望深入了解深度学习及其应用的人群。 使用场景及目标:适用于需要解决多特征输入分类问题的研究项目或工业应用场景。通过学习本文档,用户能够掌握如何快速搭建和调优DNN模型,从而提高分类任务的准确性。 阅读建议:建议读者先熟悉MATLAB的基本语法和深度学习工具箱的功能,再逐步跟随文档中的步骤进行实践。同时,鼓励读者尝试不同的数据集和参数配置,探索最佳模型表现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值