前端登录和攻击

已于 2022-08-21 09:18:19 修改
阅读量1.6k 收藏 3
点赞数 2
分类专栏: JavaScript 文章标签: 前端 服务器 java
于 2022-02-18 21:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Darlingmi/article/details/123009530
版权
本文介绍了前端登录的两种方式——Cookie+Session和Token登录,详细阐述了它们的验证过程及存在的问题。对于登录安全,文章讨论了XSS和CSRF攻击,解释了这两种攻击的原理,并提出了相应的防御措施。
摘要由CSDN通过智能技术生成

文章目录

前端登录

Cookie+Session

      HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。
为了解决HTTP无状态的问题,有了Cookie的出现。

Cookie 是服务器端发送给客户端的一段特殊信息,这些信息以文本的方式存放在客户端,客户端每次向服务器端发送请求时都会带上这些特殊信息。

      有了Cookie之后,服务器端就能够获取客户端传过来的信息了,如果需要对信息进行验证,还需要通过Session。

登录验证过程

首次登陆时:

  • 用户访问x.com,并输入密码登录。
  • 服务器验证密码无误后,创建SessionId,并将它保存起来。
  • 服务器端响应这个 HTTP 请求,并通过 Set-Cookie 头信息,将 SessionId 写入 Cookie 中。

后续登陆时:

  • 用户访问x.com时,会自动带上第一次登录时写入的Cookie。
  • 服务器比对Cookie中的SessionId和保存在服务器端的SessionId
最低0.47元/天 解锁文章
Darlingmi
关注
专栏目录
前端登录模板.zip
03-09
总结来说,"前端登录模板.zip" 包含了前端开发中关于登录界面设计的多个重要知识点,从HTML结构、CSS美化、JavaScript交互,到安全性和用户体验优化。这个模板为开发者提供了一个基础框架,可以根据实际需求进行定制...
安全(1)——登录的设计与攻击
大梁来了的博客
08-16 396
不过在最新的加密验证里面,已经不推荐使用md5进行加密相关验证,使用的是Password_verify 和password_hash 官方库对密码进行对应维护。防止出现时间运算漏洞,暴露密码的相关信息。在这里,前端只传递username字段和password密码字段,登录后端。后端拿到username和password,进行验证,通过就表示登录成功,失败就表示登录失败。所有的开发当自己能手写web系统的时候,入门的第一课大半是学会自己写个登录的简单的交互。这里梳理下,从简单到实战中的登录差别。
SQL注入,简单实例,登录攻击
qq_40548097的博客
11-18 1782
SQL注入,简单实例,登录攻击 原理 网上找 实战 服务端逻辑 只是为了演示方便,实际中当然不可能这么写的 #服务端代码 import pymsql def login(): print('ok') def login_fail(): print('not ok!') db = connect(host='local',port=3306, ...
10种常见的黑客攻击、满足你的黑客梦,零基础入门到精通,收藏这一篇就够了
最新发布
2401_84618514的博客
09-09 1721
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
登录过程中密码的安全和攻击风险
viqjeee的博客
03-26 2186
登录过程中密码的安全和攻击风险前言1 服务器端不要保存密码明文2 服务器端也不能保存密码的哈希值3 密码加盐4 注意客户端保存的密码5 避免传送明文密码6 避免直接传送密码哈希7 不能把加盐的哈希值传到服务器8 增加随机数一起做哈希9 设计好注册流程 前言 我们在开发app客户端的时候,最主要的一个模块就是用户登陆模块,其中用户密码的验证和保存流程是极易引起安全风险,各种注入攻击、重放攻击、拖库风险等,都会危机到用户的账号安全,今天从用户登陆密码验证流程角度探讨下密码安全。 1 服务器端不要保存密码明
被黑客攻击了,登录流程要怎么做才安全
程序之心
11-16 435
作者:丁仪 来源:https://chengxuzhixin.com/blog/post/deng_lu_liu_cheng_zen_me_zuo_cai_an_quan.html 用户登录是系统中最重要的功能之一,登录成功就能拥有系统的相关使用权限。所以设计一个安全的登录流程是十分必要的。保护用户账号不被黑客窃取,既是在保护用户的基本利益,更是在保护网站的信誉和业务发展。 流程安全性 安全的登录流程必须使用HTTPS协议。HTTPS 协议具有较高的安全性,可以保证数据传输过程的...
网站管理后台帐号密码暴力破解方法
weixin_33699914的博客
09-16 3311
【导读】 对于网站运行的个人站长而言,最担心的是应如何有效且安全的去管理自己的网站,否则自己辛辛苦苦经营的网站就会被不请自来的不速之客给攻破,轻则站点数据被窃取,重则整个网站都被攻陷,导致无法恢复。 本文主要从管理后台这个方面来讲解其××××××过程,并通过在虚拟环境中展开实例演示,各读者可以跟着本教程去做实验,通过实验加强对×××过程的了解,如果你是一名菜鸟站长也可以针对性的去做一下防护方案。 ...
网页前端常见的攻击方式和预防攻击的方法
09-28
网页前端常见的攻击方式和预防攻击的方法 网页前端开发中的安全问题是一个至关重要的主题,因为大多数人认为前端代码运行在客户端浏览器中,不会对服务器端的安全造成威胁。然而,随着前端技术的发展,安全问题已经...
HTML炫酷的前端登录页面
05-03
本主题聚焦于使用HTML创建炫酷的前端登录页面,这样的页面通常需要具备吸引人的视觉效果、良好的交互性和用户体验。 在创建炫酷的前端登录页面时,以下几个重要的知识点是必须掌握的: 1. **响应式设计**:现代...
前端登录注册页面jsp
07-04
总的来说,前端登录注册页面的开发涉及HTML、CSS、JavaScript以及服务器端的JSP技术。理解这些组件的交互方式,以及如何确保安全性,对于任何Web开发者来说都是至关重要的。随着技术的不断进步,开发者可以选择更...
web前端精美登录界面
01-29
总结来说,创建一个"web前端精美登录界面"需要综合运用HTML、CSS、JavaScript等技术,结合响应式设计和良好的UX实践,以实现美观、易用且安全的登录体验。对于开发者来说,熟练掌握这些知识点是提升项目质量的关键。
使用Burp Suite对登录页面进行字典攻击
qq_69351815的博客
05-27 2877
Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
前端安全—常见的攻击方式及防御方法
Innocence_0的博客
03-12 1080
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
基于PHP网站登录验证漏洞攻击及修复办法演示系统-计算机毕业源码设计
计算机源码设计案例的博客
04-23 368
开发软件:Dreamweaver + Mysql 开发技术:PHP,HTML,DIV+CSS 在功能上要求可以进行SQL语句的实现,从而可以进行SQL注入漏洞测试,开发人员编写修复程序来对漏洞进行修复。本文首先利用PHP语言开发实现了具有登录功能和注册功能的网站。登录功能,用户在网站的登录界面输入用户名和密码进行身份的验证,进而登录网站,在数据库中的功能表现为SQL语句的查询功能;注册功能,用户输入用户名和密码进行用户身份注册,进而才可以在登录界面上进行登录,在数据库中的功能表现为SQL语句的添加功能。
xss总结
Lkyqj的博客
07-30 859
xss跨站脚本攻击,(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS类型一反射型特点1非持久型,不保存到正常的服务器数据库在中2反射型xss的被攻击对象是特定的,使用含有反射型xss的特质url类型二储存型特点1持久型,攻击脚本将被永久的存放在目标服务器的数据库或文件中,具有很高的隐蔽性2储存型xss非特定攻击用户,攻击者将存储型xss代码写进有xss的网站上后,只要有访问这个连接就会被攻击。...
存储型XSS简介
热门推荐
seek_2022的博客
05-05 1万+
文章目录一、存储型XSS简介(一)存储型XSS的概念(二)存储型XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储型XSS简介 (一)存储型XSS的概念 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
XSS—存储型xss
wwwwyyyrre的博客
06-17 3402
每当有用户访问包含恶意代码的页面时,就会触发代码的执行,从而达到攻击目的。有别于反射型XSS编写一次代码只能进行一次攻击的特点,存储型XSS的恶意脚本一旦存储到服务器端,就能多次被使用,称之为“持久型XSS”。存储型XSS比反射型XSS的危害更大,在于它不需要构造特殊的URL,用户访问的是一个正常的URL也可以被攻击;另一方面,它持久化在服务端,影响的范围可以比反射型XSS更广。一个重要条件是,web应用中的用户之间有一定的交互,而非各玩各的。比方说,博客、论坛等,。
前端JavaScript登录注册模板的丰富资源
资源摘要信息:本资源提供了一个非常丰富的登录注册模板集合,适用于前端开发领域,尤其是那些使用JavaScript进行网页设计和开发的工程师。登录注册是几乎所有Web应用和服务的基础功能,因此一个优质的模板能够极大地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值