前端登录和攻击

已于 2022-08-21 09:18:19 修改
阅读量1.6k 收藏 3
点赞数 2
分类专栏: JavaScript 文章标签: 前端 服务器 java
于 2022-02-18 21:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darlingmi/article/details/123009530
版权
本文介绍了前端登录的两种方式——Cookie+Session和Token登录,详细阐述了它们的验证过程及存在的问题。对于登录安全,文章讨论了XSS和CSRF攻击,解释了这两种攻击的原理,并提出了相应的防御措施。
摘要由CSDN通过智能技术生成

文章目录

前端登录

Cookie+Session

      HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。
为了解决HTTP无状态的问题,有了Cookie的出现。

Cookie 是服务器端发送给客户端的一段特殊信息,这些信息以文本的方式存放在客户端,客户端每次向服务器端发送请求时都会带上这些特殊信息。

      有了Cookie之后,服务器端就能够获取客户端传过来的信息了,如果需要对信息进行验证,还需要通过Session。

登录验证过程

首次登陆时:

  • 用户访问x.com,并输入密码登录。
  • 服务器验证密码无误后,创建SessionId,并将它保存起来。
  • 服务器端响应这个 HTTP 请求,并通过 Set-Cookie 头信息,将 SessionId 写入 Cookie 中。

后续登陆时:

  • 用户访问x.com时,会自动带上第一次登录时写入的Cookie。
  • 服务器比对Cookie中的SessionId和保存在服务器端的SessionId
最低0.47元/天 解锁文章
Darlingmi
关注
专栏目录
SQL注入,简单实例,登录攻击
qq_40548097的博客
11-18 1773
SQL注入,简单实例,登录攻击 原理 网上找 实战 服务端逻辑 只是为了演示方便,实际中当然不可能这么写的 #服务端代码 import pymsql def login(): print('ok') def login_fail(): print('not ok!') db = connect(host='local',port=3306, ...
使用Burp Suite对登录页面进行字典攻击
qq_69351815的博客
05-27 2738
Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。一旦我们获得了目标应用程序的有效用户名列表,我们就可以尝试爆破攻击,它会尝试所有可能的字符组合,直到找到有效的密码。但是大量的字符组合以及客户端和服务器之间的响应时间,暴力攻击在Web应用程序中是不可行的。
前端安全—常见的攻击方式及防御方法
最新发布
Innocence_0的博客
03-12 1041
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
sshd登录攻击
weixin_34393428的博客
02-16 128
  先说简单的防范措施: 1.密码足够复杂    密码的长度大于8位。有数字、大小写字母、特殊字符组合。 2.nmap 扫描  为了避免被扫描到,  #看到端口是81 ssh root@192.168.1.63 玩黑客用虚拟机, 系统用xp , xp 的话开销比较小。   源码编译3把火,第一步就失败了!   java 编译型语言 .jar包,二进制包!  ...
【编程开发】之防止登录攻击的方案
王廷云的博客
10-09 431
场景 使用账号密码登录的时候,有可能会出现用户恶意频繁登录攻击,比如写个登录脚本不断地请求登录操作,最后可能造成服务器压力过大崩溃。 解决的办法 图片验证码: 每次登录操作之前需要填写图形验证码上的验证码,并且每次的登录请求操作使用的验证码都是不一样的。所以这里需要设置一个图形验证码的过期时间。 滑动验证: 每次登录操作之前需要进行滑动操作,滑动操作有阿里的滑动验证和滑动拼块验证。 ...
登录过程中密码的安全和攻击风险
viqjeee的博客
03-26 2145
登录过程中密码的安全和攻击风险前言1 服务器端不要保存密码明文2 服务器端也不能保存密码的哈希值3 密码加盐4 注意客户端保存的密码5 避免传送明文密码6 避免直接传送密码哈希7 不能把加盐的哈希值传到服务器8 增加随机数一起做哈希9 设计好注册流程 前言 我们在开发app客户端的时候,最主要的一个模块就是用户登陆模块,其中用户密码的验证和保存流程是极易引起安全风险,各种注入攻击、重放攻击、拖库风险等,都会危机到用户的账号安全,今天从用户登陆密码验证流程角度探讨下密码安全。 1 服务器端不要保存密码明
网页前端常见的攻击方式和预防攻击的方法
09-28
网页前端常见的攻击方式和预防攻击的方法 网页前端开发中的安全问题是一个至关重要的主题,因为大多数人认为前端代码运行在客户端浏览器中,不会对服务器端的安全造成威胁。然而,随着前端技术的发展,安全问题已经...
HTML炫酷的前端登录页面
05-03
本主题聚焦于使用HTML创建炫酷的前端登录页面,这样的页面通常需要具备吸引人的视觉效果、良好的交互性和用户体验。 在创建炫酷的前端登录页面时,以下几个重要的知识点是必须掌握的: 1. **响应式设计**:现代...
前端登录模板.zip
03-09
总结来说,"前端登录模板.zip" 包含了前端开发中关于登录界面设计的多个重要知识点,从HTML结构、CSS美化、JavaScript交互,到安全性和用户体验优化。这个模板为开发者提供了一个基础框架,可以根据实际需求进行定制...
知乎网站的登录前端源码
02-28
前端的验证只能作为初步防护,真正的安全验证应在后端完成,防止恶意攻击。比如,前端可以检查用户名和密码的长度,但必须在后端进行更复杂的校验,如SQL注入防护、密码哈希等。 总的来说,"zhihu_login-master...
登录注册时信息泄露的几种攻击方法(知识片段记录)
Aero_duan的专栏
07-30 900
用户登录注册时,导致数据库中数据泄露的几种方式: 字典攻击 暴力破解 查询表 彩虹攻击(目前这个还没理解原理) 为了加强用户登录注册时的安全性,通常不会在数据库中存储用户的明文密码,当服务器接收到用户发送过来的请求时,会将用户密码进行加密(比如采用MD5加密)。加密后的字符串还是很容易就可以被黑客攻击,因为对于相同的密码字符串,通过MD5加密之后,生成的加密字符串是完全一样,这样对于黑客来...
观看:防止登录页面上的暴力攻击
culi3182的博客
08-30 180
Learn how to protect your PHP applications from Brute Force Attacks. I’ll show you how in this screencast. 了解如何保护您PHP应用程序免受蛮力攻击。 我将在此截屏视频中向您展示。 Loading the player… 正在加载播放器… 翻译自: https://www.sitepo...
网络攻防:telnet远程登录和拒绝服务攻击的实现(dos攻击)
热门推荐
薯片薯条的博客
10-07 9万+
首先先说下我写这些文章的目的.我的专业就是网络安全,因此,也愿意把自己所学的一些东西都分享出来.不过由于涉及到很多黑客的东西,一些软件我就不发了,脚本什么的你们可以拿去用. 更多的是为了给大家普及一下管于黑客的知识,以及如何防范黑客.这是我写的第一篇文章,希望能给你们带来一些启发. 实验环境:三台虚拟机,win7,win7,win2003,并且要关掉所有的防火墙 一.telnet远程登录 1.实验环境搭建 实验环境:攻击机win7,靶机win2003 telnet是windows里面的一个服务.基本w.
【web-攻击验证机制】(3.2.1)验证机制设计缺陷:密码保密性不强、蛮力攻击登录、详细的失败消息
08-15 239
【验证机制设计缺陷】密码保密性不强、蛮力攻击登录、详细的失败消息
由一个简单的登录功能初窥自动化脚本
weixin_45873215的博客
07-09 1061
一.从事测试工作应有的测试思维 例:由一个简单的登录功能引出的知识点 1.UI界面需要测试 通过使用UI自动化测试脚本来实现 2.数据库的用户数据需要测试 测试数据库中是否存在该用户数据 3.Linux服务器的日志需要测试 通过shell脚本来查看测试日志 4.登录接口需要进行测试(即接口是否请求正确,测试返回值是否正确) 通过接口测试自动化脚本来实现 二.自动化测试的重要性与在整个项目的地位 重要性:自动化脚本是可以成为一个公司的固定资产。 地位:开发、产品、运营、运维都可以通过使用自动化脚本来提高工作效
xss总结
Lkyqj的博客
07-30 850
xss跨站脚本攻击,(CrossSiteScripting),为区别层叠样式表(CascadingStyleSheets,CSS),所以改写为XSS类型一反射型特点1非持久型,不保存到正常的服务器数据库在中2反射型xss的被攻击对象是特定的,使用含有反射型xss的特质url类型二储存型特点1持久型,攻击脚本将被永久的存放在目标服务器的数据库或文件中,具有很高的隐蔽性2储存型xss非特定攻击用户,攻击者将存储型xss代码写进有xss的网站上后,只要有访问这个连接就会被攻击。...
安全基础 基于SSH的恶意登录攻击分析
10-10 1867
绍  近几年,在一些网络日志中出现了大量的基于SSH的恶意登录攻击记录。本文将利用蜜罐(honeypot)陷阱对这类攻击进行分析,最后,本文提供了一些关于如何防范这类攻击的建议。  蜜罐的使用方法研究  位于新西兰的Honeynet联盟的分支机构:新西兰Honeynet联盟,主要致力于通过蜜罐技术来研究黑客的行为,攻击方法以及他们所使用的工具,从而改善网络和计算机系统的安全。蜜罐本身
前端与PHP实现7天免密用户登录教程
在实际开发中,前端页面需要包含对免密登录机制的支持,例如保存和发送Cookie,而后端需要在用户登录后设置相应的Cookie和Session,并在后续请求中检查这些状态。整个流程需要确保安全性,避免潜在的安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值