Cookie 与session 通熟一点的理解, 并且Cookie防劫持的处理

最新推荐文章于 2024-03-22 09:49:37 发布
最新推荐文章于 2024-03-22 09:49:37 发布
阅读量4.4k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghang88/article/details/51707276
版权

一:cookie 与session 通俗一点的理解

1. Cookie是什么?

2. 窃取的原理是什么?

3. 系统如何防Cookie劫持呢?

  首先我们要明白这三个问题:

Cookie与session 
HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息.




用通俗的语言, Cookie是钥匙, Session是锁芯.

Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。

但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取你的信息, 甚至挪用你的资金. 这是非常危险的.


XSS攻击:
其就是利用站点开放的文本编辑并发布的功能, 从而造成攻击,就是输入javascript脚本, 窃取并投递cookie信息到自己的站点.
比如攻击者以一个普通用户登录进来,然后在输入框中提交以下数据:


有了该session-id,攻击者在会话有效期内即可获得管理员的权限,并且由于攻击数据已添加入数据库,只要攻击数据未被删除,那么攻击还有可能生效,是持久性的。
     Cookie的不安全就是因为这引起的。

二:cookie的防劫持的预防

基于XSS攻击, 窃取Cookie信息, 并冒充他人身份.

1) 方法一:
给Cookie添加HttpOnly属性, 这种属性设置后, 只能在http请求中传递, 在脚本中, document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.
2)方法二:
在cookie中添加校验信息, 这个校验信息和当前用户外置环境有些关系,比如ip,user agent等有关. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 因此要求重新登录, 这样也是种很好的思路, 去规避cookie劫持.
3)方法三:
cookie中session id的定时更换, 让session id按一定频率变换 , 同时对用户而言, 该操作是透明的, 这样保证了服务体验的一致性.



















wanghang88
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sessioncookie的内容.doc
01-26
sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容sessioncookie的内容session与...
如何保护你的账户和财产不被Cookie劫持和HTML注入攻击
热门推荐
陈书予
03-08 1万+
随着互联网的普及,网络攻击也愈发猖獗,其中钓鱼攻击成为网络攻击的一大类别。钓鱼攻击指的是通过欺骗手段获取用户的敏感信息或者财产的行为。其中,利用Cookie劫持+HTML注入进行钓鱼攻击成为了攻击者非常常用的一种手段。本篇博客将详细讲解这种攻击方式的实现原理,以及如何从技术层面上进行范。
基于cookie的全局拦截器
京北游戏官方
09-25 1万+
包含加密解析和全局异常 首先判断用户的登录状态 获取cookie对象,解析用户ID的值,此操作包含加密解析和全局异常 如果用户ID不为空,并且在数据库中可以查找到记录,表示请求合法。 否则,请求不合法,进行拦截,重定向到登录界面 package com.qiangqiang.crm.interceptors; import com.qiangqiang.crm.exceptions.NoLoginException; import com.qiangqiang.crm.service.UserServi
session 身份绕过漏洞
最新发布
weixin_45653478的博客
03-22 392
session 主要用于身份验证,登陆后的 session 保存在服务器,如果 session 存在网站目录,或者 session 存储于数据库,如果存在 sql 注入或者目录浏览等漏洞,得到这个用户登录后的 session,恶意用户得到这个 session 可以伪造进行登录。
cookie劫持
qq_41048303的博客
08-15 1124
pikachu靶场—cookie劫持 一.劫持的原理 ​ 利用XSS漏洞,对存在漏洞的位置进行测试,并写出payload。 ​ 将构造好的链接发送给用户,用户点击后就会将自己的cookie发送到攻击者提前布好的网站。 ​ 这次使用的是pikachu靶场,里面就存在着XSS相关的漏洞。 二、劫持的过程 环境说明 服务器: windows 7(pikachu靶场) IP:192.168.254.136 用户: windows 10 IP:192.
cookie是什么?如何劫持
摔不死的笨鸟的博客
08-17 2336
Cookie Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We
Cookie--劫持处理
时光里的博客
12-03 1098
Cookiesession HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了CookieSession. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息. 用通俗的语言, Cookie是钥匙, Session是锁芯. Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取
PHP的cookiesession原理及用法详解
01-02
本文实例讲述了PHP的cookiesession原理及用法。分享给大家供大家参考,具体如下: 产生背景 HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味...
Django cookiesession
12-20
Django cookiesession Cookie 是存储在客户端计算机上的文本文件,并保留了各种跟踪信息。 识别返回用户包括三个步骤: 服务器脚本向浏览器发送一组 Cookie。例如:姓名、年龄或识别号码等。 浏览器将这些信息...
CookieSession机制.doc
08-26
CookieSession机制.docCookieSession机制.docCookieSession机制.docCookieSession机制.docCookieSession机制.doc
PHP cookiesession会话基本用法实例分析
01-21
本文实例讲述了PHP cookiesession会话基本用法。分享给大家供大家参考,具体如下: cookie即是传统的会话控制,由于要存储的信息是保存在客户端的,所以安全系数较低,而session会话控制是将要存储的信息保存在...
浏览器cookie被禁掉,该如何去解决
qq_44978342的博客
05-27 6159
解决方案一:URL回写(老方法) 针对上图进行描述: 当我们的浏览器去访问后台服务时,如果浏览器将cookie禁掉,我们使用cookie传递的sessionId或者是一些token信息,就无法返还给前台的浏览器,就会出现用户登录后,依旧还提示重新登录的情况。 上图的解决方式:就是我们的服务器在进行重定向的时候,将这些信息拼接到浏览器的url后,这样可以解决cookie的问题,但是路径中比如url?username=zhangsan&password=123456,我们无法判断传递的参数中的
劫持cookie原理(淘宝,天猫案例)
weixin_44915162的博客
08-23 1564
由于JavaScript能读取到页面的Cookie,而用户的登录信息通常也存在Cookie中,这就造成了巨大的安全隐患,这是因为在HTML页面中引入第三方的JavaScript代码是允许的: <!--www.example.com--> <html> <head> <script src="http://www.foo.com/jquery.js"></script> </head> ... </html> 如果引入的第三
Cookie窃取和Session劫持
杨春建的博客
10-25 1万+
原文地址:http://www.2cto.com/Article/201411/355266.html 一、cookie的基本特性 如果不了解cookie,可以先到 wikipedia 上学习一下。 http request 浏览器向服务器发起的每个请求都会带上cookie: Host: www.example.org Cookie: foo=value1;ba
Cookie劫持处理
AdleyTales的技术博客
06-19 1万+
Cookiesession HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了CookieSession. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息. 用通俗的语言, Cookie是钥匙, Session是锁芯. Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁...
项目中注意点(cookie设置登录时效、请求拦截、响应拦截、转换formData、解决跨域、路由守卫、登录记录用户信息)
m0_66970189的博客
07-17 596
在vue.config.js中进行设置devServe。在api文件夹下的index.js中操作如下。
cookie的弊端
MikeBison的博客
12-11 1014
cookie虽然在持久保存客户端数据提供了方便,分担了服务器存储的负担,但还是有很多局限性的。 第一:每个特定的域名下最多生成20个cookie 1.IE6或更低版本最多20个cookie 2.IE7和之后的版本最后可以有50个cookie。 3.Firefox最多50个cookie 4.chrome和Safari没有做硬性限制 IE和Opera 会
OkHttp3 (四)——Cookie与拦截器
陈小默的博客
12-22 1万+
OkHttp3 (四)——Cookie与拦截器标签(空格分隔): OkHttp3版本:1 作者:陈小默 声明:禁止商业,禁止转载 发布于:作业部落、[简书]、[CSDN]OkHttp3 四Cookie与拦截器 Cookie Android设备中的Cookie持久化 拦截器 取消重定向 Cookie在介绍如何使用Cookie之前,我们应该对后台的数据处理有一定的认识。由于HTTP协议无状态的特性,后台
解决新版chrome浏览器SameSite属性cookie拦截问题
qq_41140980的博客
11-05 3844
解决新版chrome浏览器SameSite属性cookie拦截问题 问题现象: 由于升级了新版chrome浏览器后,发现系统正常iframe嵌套、AJAX,Image从以前的跨站会发送三方 Cookie,变成了不发送。导致某些内容无法显示了,页面空白,但是请求未报错。 查找资料: 发现Google 在2020年2月4号发布的 Chrome 80 版本中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性,并且拒绝非Secure的Cookie设为 SameSite
Session处理cookie
05-22
在Web应用程序中,Session是一种管理用户状态的机制。它允许服务器在一段时间内保存用户的信息,并且在需要时可以...然而,使用Session也需要小心,因为如果不正确地配置,它可能会导致安全漏洞,例如Session劫持攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值