Cookie 防伪造 防修改

最新推荐文章于 2023-05-23 21:22:39 发布
最新推荐文章于 2023-05-23 21:22:39 发布
阅读量679 收藏
点赞数
原文链接:https://my.oschina.net/u/945154/blog/898003
版权

主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改。 防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) signToken :签名密钥 由md5(value+saveTime+maxTime+”自定义密钥“)生成 saveTime:cookie创建时间 maxTime:cookie超时时间 设置Cookie public static void put(HttpServletResponse response, String key, String value, int maxTime) { String pwdKey = "white_yu"; //自定义密钥 String saveTime = System.currentTimeMillis() + ""; String signToken = md5(pwdKey, saveTime, maxTime + "", value);

    String cookieValue = signToken + "&&" + saveTime + "&&" + maxTime
            + "&&" + value;
    Cookie cookie = new Cookie(key,cookieValue);
    cookie.setMaxAge(maxTime);
    response.addCookie(cookie);

}

获取Cookie public static String getCookie(String cookieValue) { String pwdKey = "white_yu"; //自定义密钥 if (StringUtils.isNotBlank(cookieValue)) { String cookieStrings[] = cookieValue.split("&&"); if (null != cookieStrings && 4 == cookieStrings.length) { String signToken = cookieStrings[0]; String saveTime = cookieStrings[1]; String maxTime = cookieStrings[2]; String value = cookieStrings[3];

            String sign = md5(pwdKey, saveTime, maxTime, value);

            // 保证 cookie 不被人为修改
            if (sign.equals(signToken)) {
                long stime = Long.parseLong(saveTime);
                long maxtime = Long.parseLong(maxTime) * 1000;
                // 查看是否过时
                if ((stime + maxtime) - System.currentTimeMillis() > 0) {
                    return value;
                }
            }
        }
    }
    return null;
}

转载于:https://my.oschina.net/u/945154/blog/898003

cig40875
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第9课:利用 Headers 的 Cookie 和 User-agent 伪装自己
Hakcer's Junk
11-25 2346
headers 学习目录什么是 headers ?headers 和 requests 关系把 headers 加入 requests ,进行身份访问网站:如何查看自己 headers ? 什么是 headers ? headers 就是 就是我们 互联网 计算机与计算机,计算机与服务器,服务器与服务器之间通信的其中一个数据的一些参数,我们一般都把这个理解为终端与终端的通信。 终端与终端的通信,用以通信之间都是相互传递数据。我们一般叫这个数据,称之为数据包。而这个数据包,是由报文组成,报文是网络中交换与传
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1404
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
总结Cookie安全:安全风险和范建议
Neonline254的博客
05-23 3005
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
cookie的安全隐患以及篡改机制
浮生离梦的博客
05-28 6031
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
Cookie伪造修改
源码有毒的专栏
10-09 1万+
主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) signToken :签名密钥 由md5(value+saveTime+maxTime+”
Django CSRF跨站请求伪造护过程解析
09-18
7. **安全最佳实践**:除了Django的内置护,开发者还应确保所有敏感操作(如修改、删除等)都通过POST、PUT、DELETE等非幂等性请求完成,并且只在POST请求中检查CSRF令牌。 通过理解Django的CSRF护机制,开发者...
360提供的phpsql注入代码修改
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
web攻击技术与
01-26
2. **Cookie窃取**:攻击者可以利用JavaScript读取用户的Cookie值,进而冒充用户的身份进行非法操作。 3. **恶意操作**:通过脚本控制,攻击者可以篡改页面内容,展示伪造的信息,甚至引导用户进行恶意操作。 **跨...
cookie 修改欺骗必备工具
12-29
通过修改伪造Cookie,攻击者可以冒充其他用户,执行未经授权的操作,例如登录他人的账户、篡改数据或者获取敏感信息。这就是所谓的Cookie欺骗。因此,了解如何修改Cookie并识别潜在的安全风险至关重要。 Cookie...
在Django中预CSRF攻击的操作
09-17
CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、进行支付等。为了保护用户的隐私和财产安全,Django提供了内置的CSRF护机制。 ...
cookie-parser用于cookie签名和签名解析的中间件,防止cookie被恶意更改
wzp20092009的博客
10-11 1058
cookie-parser是一个用于cookie签名和签名解析的中间件,将返回前台的cookie设置属性signed值true签名,也通过请求的signedCookies获取签名的cookie
Cookie伪造
yz18931904的博客
01-17 1501
主要防止非法用户修改cookie信息,以及cookie的超时时间  传统cookie存储,Cookie(name, value),value很容易就被篡改。  修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime)  signToken :签名密钥 由md5...
Cookie 篡改机制
热门推荐
AdleyTales的技术博客
06-19 1万+
一、为什么Cookie需要篡改 为什么要做Cookie篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求,HTTP请求头会带上CookieCookie里面就包含有SessionID。 后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。 服...
cookie是什么?如何范劫持?
摔不死的笨鸟的博客
08-17 2434
Cookie Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We
高端商务活动策划商业计划书PPT模板
最新发布
07-12
【作品名称】:高端商务活动策划商业计划书PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
cookie和CSRF的
09-27
御CSRF(跨站请求伪造)攻击中,cookie起到了重要的作用。可以采取以下措施来御CSRF攻击: 1. 使用SameSite属性:将cookie的SameSite属性设置为Strict或Lax,可以限制跨站点请求的发送方式,从而减少CSRF的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值