dat是什么数据格式文件 IE下Userdata本地化存储(2)

我们无法通过编程手段来删除掉存储在userData中的所有数据，只能对使用.userData样式的 HTML元素调用其removeAttribute()方法，来删除相应的名/值对。但是，我们无法遍历删除userData中实际存储的名/值对。虽然 开发人员应该知道存储在客户端的所有名/值对，但是，我们毕竟都是人，总会忘记一些事情，并且由于我们无法像为DOM存储编写一个clear()方法那 样，所以那些应该被删除的数据很可能被遗留在userData中。幸好，userData元素的expires属性可以提供一些帮助，开发人员可以通过它 来设置自动删除数据的过期时间。在默认情况下，存储在userData中的所有数据永远都不会过期。Interner Explorer不仅无法提供网站使用userData存储数据的时间，也没有提供任何关于userData的可视化界面，即使删除浏览器中的 cookie、缓存、历史记录和离线内容，也无法删除userDat中存储的数据。这些因素都增加了窃取客户端机器中数据的可能性。一旦确保不再需要使用 应用程序中的某些数据，开发人员就应该立即将它们删除掉。

要查看userData中存储的数据不是不可行，但需要一些技巧。首先，在 Windows Explorer（随便打开一个Windows文件窗口）的文件夹选项中切换到“查看”选项卡，勾选“显示所有文件和文件夹”复选框，并取消选择“隐藏受 保护的操作系统文件（推荐）”选项。然后我们打开userData目录，在Windows XP系统中即为C:\Documents and Settings\USER_NAME\UserData。虽然userData都存储在XML文件中，但是Internet Exploerer使用缓存的存储机制来存储这些XML。例如，用一个名为index.dat的索引文件来存储所有的元数据（Metadata），然后将 其中的元素（即不同域用来存储userData的XML）分别存储在5个随机生成的目录下。我们可以通过查看index.dat索引文件，以及目录中的所 有XML文件，来确定具体使用的userData存储系统。

不过，要想修改userData中存储的内容却是非常复杂的，因为我们无法直 接修改缓存目录中的XML文件。 如果真这么做，那么JavaScript在加载修改后的数据时，会抛出一个数据格式错误的异常。这意味着在index.dat文件中保存了某些哈希散列 值，或者XML文件的长度。不幸的是，index.dat不是一种开放的文件格式。在互联网上，只有很少一些网站详细描述了该文件结构的内部结构。我们 （本书作者）经过一晚上大量的尝试和失败，终于发现XML文件的长度的确存储在index.dat文件中。注意，index.dat里 的+0x20偏移量就用来保存文件的长度，当前值为136字节，也正是我们用来存储持久化userData的XML文件的长度。

于是，现在攻击者可以任意修改userData中存储的持久化数据，只要最后更新index.dat文件中的 XML文件长度即可。

我们再一次重申，任何形式的客户端存储都可以被用户查看并修改。开发人员永远都不能相信任何来自客户端的数据。

总结

· userData提供了持久化存储功能。如果要模拟非持久化存储，开发人员可以使用浏览器的unload()方法来清除userData数据。dat是什么数据格式文件

· 可以指定userData是否自动过期。在默认情况下，userData中的数据永远不会过期。

· 只有满足以下3个条件，页面之间才能共享userData数据：同一端口、同一服务器、同一目录下。必须遵守该规定，并且域和域之间也无法共享数据。

· userData可以存储XML或者字符串数据。开发人员必须将复杂的数据类型进行序列化，转化为这两种格式，并实现相应的反序列化功能。

程序代码封装：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shumachanpin/article-68610-2.html