cookie安全性问题

最新推荐文章于 2024-06-19 16:46:58 发布
最新推荐文章于 2024-06-19 16:46:58 发布
阅读量735 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenpeng0708/article/details/105515284
版权

cookie的安全性问题

Cookie机制

同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,客户端通过javascript也可以添加、修改和删除Cookie。另外,Cookie是无法跨浏览器存在的。

Cookie的重要字段

[name] [value] [domain] [path] [expries] [max-age] [httponly] [secure]

其含义依次为:名称、值、所属域名、所属相对根路径、过期时间、是否有HttpOnly标志、是否有Secure标志。

子域Cookie机制

设置Cookie时,如果不指定domain的值,默认就是本域。
例如:a.test.com域通过javascript设置一个Cookie,语句如下:

document.cookie="test=1";

那么,domain值默认为a.test.com。如果指定domain为父级域,比如:

document.cookie="test=1;domain=test.com";

domain变为test.com,这样带来一个好处就是可以在不同的子域共享Cookie,坏处也很明显,就攻击者控制的其他子域也能读到这个Cookie。注意:这个机制不允许设置Cookie的dom

最低0.47元/天 解锁文章
chenpeng0708
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web漏洞修复
q764535104的博客
05-31 3270
开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。注:配置后,统一网站浏览器只要使用过https,下次http的请求就会强转成https,max-age为生效时长,且每次访问都会重新刷新。可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。
cookie带来的致命危险
weixin_33682790的博客
11-24 1308
1、危险:当记录了过多的cookie时,可能导致http header过大,进而导致服务器端发生错误,导致用户无法打开页面。 2、cookie限制:   各浏览器对单cookie键的限制基本都在4kb左右。上下可能有30多b的差别。差别基本不大。   但对cookie总大小的限制却差别很大。其中chrome和IE8-的允许的总大小最小,为chrome 4997b,IE8-  4096b。因此...
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造
最新发布
qq_43613949的博客
06-19 410
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性属性Cookie和跨站点请求伪造@
cookie安全性问题
fzhqcjc的博客
11-12 463
cookie存密码实际是一个很有历史渊源的问题了,只要使用自动登录技术就得用到cookie。于是cookie里就有了密码,从最初的txt跨站到flash,到后来的木马直接窃取cookie,都是cookie明文存储密码的弊端。 后来有人提出了对cookie进行加密,一般做法就是把字符对应的Unicode编码改成数字,每个字符间加上"a"作为解决方案,这算是第一种办法。当然也有人直接把md5散列后的...
具有不安全、不正确或缺少SameSite属性Cookie
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
WEB开发安全漏洞修复方案 (2).pdf
07-14
WEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdf
IIS - 会话cookie中缺少HttpOnly属性
热门推荐
简单记录一下。
09-09 20万+
不啰嗦,我们直接开始! 先进行常规设置 打开配置编辑器 选中图中节点,将httpOnlyCookies设置为true 然后。。。不起作用。。。 换种方式 通过配置出站规则getcookie添加HttpOnly 在Web.config中添加如下出站规则 <rewrite> <outboundRules> <rule name="Add HttpOnly"> <match serverVa.
深入分析Cookie安全性问题
01-19
但是,Cookie作为用户身份的替代,其安全性有时决定了整个系统的安全性Cookie安全性问题不容忽视。 (1)Cookie欺骗 Cookie记录了用户的帐户ID、密码之类的信息,通常使用MD5方法加密后在网上传递。经过加密处理
php用户登录之cookie信息安全分析
10-22
PHP用户登录过程中,Cookie是常见的用户身份标识存储方式,但同时也存在安全性问题。本文将深入探讨如何确保Cookie中的信息安全,主要关注加密和令牌保护两种策略。 首先,Cookie信息加密是一种基本的安全措施,...
nginx常见问题整理和解决办法
01-10
以下就是我们整理的nginx常见的问题,解决办法我们例举了1-2种,大家可以都测试下。 常见问题 问题一:相同server_name多个虚拟主机优先级访问 server{ listen 80; server_name server1; location{...} } server{ listen 80; server_name server2; location{...} } 解决方法: 配置两个conf文件:server1.conf 和 server2.conf 根据Linux系统中文件顺序读取 问题二:location匹配优先级 location = /code1/
解决java后台登录前后cookie一致问题
08-31
本文主要介绍了java后台登录前后cookie一致的解决方案,具有很好的参考价值,需要的朋友一起来看下吧
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2028
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
cookie属性
blind
09-23 137
  Cookies最初设计时,是为了CGI编程。但是,我们也可以使用Javascript脚本来操纵cookies。在本文里,我们将演示如何使用 Javascript脚本来操纵cookies。(如果有需求,我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得,那么我现在就教你一手:仔细看看CGI.pm。在这个CGI包里有一个cookie()函数,可以用它建立cookie...
Cookie安全性分析
qq_37158580的博客
04-22 4904
浅谈cookie安全性 摘要 HTTP State Management Mechanism(HTTP状态管理机制)一文中,定义了HTTP Cookie和Set-Cookie头字段。HTTP服务器利用这种头字段,在HTTP用户代理(浏览器)中存储当前状态,使得在大多数无状态的HTTP协议下,服务器可以维持一个有状态的回话。虽然,在安全性和隐私性上,cookie有许多历史性的不合理处,但是...
Cookie之原理分析(二)
zzq的博客
02-21 192
捉包分析
cookie属性详解
葡萄味橙子的博客
08-09 2009
在chrome控制台中的resources选项卡中可以看到cookie的信息。 一个域名下面可能存在着很多个cookie对象。 name  字段为一个cookie的名称。 value  字段为一个cookie的值。 domain  字段为可以访问此cookie的域名。 非顶级域名,如二级域名或者三级域名,设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身,不能设置其他二级域...
cookie安全性解决办法
09-09
对于确保 cookie安全性,可以采取以下几种解决办法: 1. 使用 HTTPS 协议:通过使用 HTTPS 加密协议来传输请求和响应,可以防止中间人窃听和篡改的风险,确保数据的安全性。 2. 设置 Secure 标记:在设置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值