Cookie使用和安全

最新推荐文章于 2022-09-16 16:13:34 发布
最新推荐文章于 2022-09-16 16:13:34 发布
阅读量602 收藏 1
点赞数
分类专栏: Web 文章标签: 网络攻击 浏览器 cookie

Cookie简介

Cookie分为“Persistent”和“Non-Persistent”类型。 “PersistentCookie在浏览器关闭后,Cookie会保存在硬盘上;”Non-Persistent” Cookie只是存在内存中,当浏览器关闭时,Cookie消失。

浏览器通常都提供管理Cookie的功能。

 

Cookie内容

一条Cookie通常由多个“属性=值”格式的元素组成。例如下面是用户登录Gmail时产生的一条Cookie

Set­Cookie: GV=; Domain=mail.google.com; Expires=Sun, 09­Oct­05 13:47:42 GMT; Path=/mail

如上例子,一条Cookie通常有5条参数:

l Cookie的名称  (GV)

l Cookie的值    (空白)

l Cookie的有效期  (Sun, 09­Oct­05 13:47:42 GMT

l Cookie有效的域名  (mail.google.com)

l Cookie有效的路径  (/mail)

除了以上5个参数外,还有其他一些参数,例如为了安全行,可以加上secureHttpOnly

 

Cookie的安全风险

下面列举一些例子,说明了使用cookie可能带来的安全隐患,以及消除这些隐患的方法。

 

1. 域名使用不当

从上面的Cookie例子中可以看到,每条Cookie有一个域名,限定Cookie生效的范围。例如mail.google.com,这样这条cookie只能在这个域名上生效,如果是google.com,就不能生效了,但是在子域名内,例如pop3.mail.google.com应该还是生效。但是如果有人把cookie域名写成了.com或者.edu或者.net等,这样这个cookie对大量的网域都有效。为此有标准“RFC 2965[描述http状态管理的文档]专门规定,默认下,对这样只包含根域名的cookie一概禁止。

尽管如此,风险依然存在,例如一个网站www.abcfootball.com,登录后cookie的域名应该是public.abcfootball.com,但是如果设置成了abcfootball.com,那么意味着cookiepublic.abcfootball.comprivate.abcfootball.com,以及一切子域都有效,这样这条cookie可能会让用户访问到权限限定反问之外的资源。

避免的方法很简单,就是把cookie的域名限定尽量设置准确,详细。

 

2. 路径使用不当

  这个和“域名使用不当”类似,当cookie的限定访问路径设置过大时候,意味着cookie对所有子目录都是有效的,会带来非法访问的可能。例如刚才例子中路径“/mail”设置成了根目录“/”,用户有可能用这条cookie访问到除“/mail”之外的资源.

 

3. “Persistent” Cookie保存登录信息

许多网站在登录时使用类似于“记住登录信息”的功能。这样用户登录的信息【例如用户名,密码】会以“PersistentCookie的形式保存在硬盘上,例如登录Gmail时候,保存的cookie可能是:

    Set­Cookie: rememberme=true;Domain=.google.com;Path=/;Expires=Thu, 21­Apr­2016   12:03:07 GMT

   这样用户在cookie过期之前再登录google.com,网页会直接进入gmailinbox页面这样产生的巨大风险是,当其他用户使用此机器时,一样就自动进入你的邮箱了。

   避免的方法是,当使用完邮箱后,应使用“登出”而不是直接关掉浏览器。开发者处理敏感信息登录时,尽量采用Session机制,SessionID 默认使用“Non PersistentCookie保存,当“登出”或关闭浏览器时,就会自动从内存中消失。

 

4. “Persistent” Cookie保存敏感信息

和上面一样,当用户输入敏感信息进行业务后,这些信息会保存在机器本地,例如网上购物,用户的信用卡信息会保留在磁盘上。

避免这种风险的方法是,尽量少用公共机进行这样业务;或者在业务完成后,使用浏览器的安全管理工具,删除掉所有的Cookie

 

5. 明文传输Cookie

Cookie经常用来存储一些敏感信息,例如session id,如果明文在网上传输,传输过程中很可能被窃取。为了保证cookie不被窃取,需要在cookie中加上“Secure”的属性,这样浏览器也能意识到这是敏感信息,会以不同的security level来对待;会提醒用户,建议以SSL方式来连接,在cookie返回Server时,也以不同的安全级别来传输。

 

6. 缓存中的Cookie

现在缓存被大量应用,以提高网站访问性能。如果包含个人敏感信息的Cookie被存储在缓存上,很可能造成这些信息泄漏。

为避免这种情况,在ResponseHeader中加上去除缓存的属性:

Cache­control: no­cache="set­cookie" 

或者

Cache­control: no­cache="set­cookie2"

一些私有页面同样也不应该被缓存,应该在Header中加上:

Cache­control: private

 

7. 跨域脚本攻击(CSS: Cross Site Scripting Attack

CSS是最普遍的网络攻击手段之一。通过一段恶意的脚本代码,偷取用户本地有效的Cookie,然后发送给恶意攻击者,这些信息可能被非法应用。

网上防范的方法有很多,这里介绍一种方式,给Cookie加上HttpOnly的属性:

Set­Cookie: USER=123; expires=Wednesday, 20­Apr­06 23:12:40 GMT; HttpOnly

“HttpOnly”属性能保证这条Cookie不能被脚本语言执行获取到,而被发送到第三方。这样能保证这条Cookie的安全。

天空蒙蒙的雾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
Cookie】如何安全使用cookie
jy0921
12-06 901
在用户使用某个cookie的登录某个网站时,通过饼干可以拿到安全的访问权限,如果饼干被盗,那么任何人都可以访问网站。 我们需要关注的是如何保证客户端提交数据的保密性和服务器获取信息的随机性,即可变性。 首先,客户端使用安全的方式保存用户信息,例如chrome不允许用户通过浏览器获取Cookie,是一个办法。 另外,客户端提交时,使用足够复杂的方式处理,以避免在另一台主机可以模仿当前主机的提交...
Cookie安全
逍遥快活一书生的博客
05-07 513
HTTP 协议不仅是无状态的 也是不安全使用http协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。使用HTTP协议传输狠机密的内容是一件很危险的事情,如果不希望Cookie在HTTP等不安全的协议中传输,可以设置Cookie的secure属性为true。这样浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。 例如:Cookie cookie=new Cookie(
安全使用 Cookie
每天进步一点点
02-24 526
安全使用 Cookie Cookie 是一种有用的让用户特定的信息保持可用的方法。但是,由于 Cookie 会被发送浏览器所在的计算机,因此它们容易被假冒或用于其他恶意用途。请遵循这些指导: 不要将任何关键信息存储在 Cookie 中。例如,不要将用户的密码存储在 Cookie 中,即使是暂时存储也不要这样做。通常,不要将任何信息保存在 Cookie 中,因为一旦它被假冒,就会
[20][03][24] Cookie Security: Persistent Cookie
安全新司机
12-30 1185
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在长期有效的 cookie 中存储敏感数据, 可能会导致机密性被破坏或帐户受到损害 2. 问题场景 大多数 Web 编程默认创建非持久 cookie, 这些 cookie 只驻留在浏览器内存中 (cookie 不会写入磁盘), 并在浏览器关闭时丢失,程序员可以指定 cookie浏览器会话之间被持久化, 直到某个未来的日期, 这样的 cookie 被写入磁盘, 并在浏览器会话和计算机重启时保存下来 如果私人信息被存储在长期有效的 cook
Java使用cookie和session共7页.pdf.zip
10-28
在Java Web开发中,Cookie和Session是两种非常重要的技术,用于管理用户会话。它们都是用来跟踪用户状态的机制,但各有特点和...在处理用户会话时,合理地结合使用Cookie和Session,可以提高应用的用户体验和安全性。
Java使用cookie和session共7页.pdf.z
10-30
在Java Web开发中,Cookie和Session是两种非常重要的会话管理技术,它们用于跟踪和维护用户的状态信息。本文将深入探讨这两个概念,以及如何在实际应用中有效地利用它们。 首先,我们来理解CookieCookie是一种在...
php session和cookie使用说明
12-18
Cookie是一种在用户浏览器端存储数据的技术,用于跟踪和识别用户。当PHP应用需要设置Cookie时,会通过HTTP头部信息将其发送浏览器。因此,`setcookie()`函数必须在任何其他输出内容之前调用,这与`header()`函数的...
Django 中 cookie使用
10-19
在Django中,Cookie是一种非常重要的机制,用于在客户端存储数据,以便在多个HTTP请求之间保持状态。...正确理解和使用Cookie对于构建Web应用程序至关重要,特别是在涉及到用户认证和状态跟踪的场景中。
Cookie路径设置(很重要)
热门推荐
小匠心的博客
04-20 2万+
1.浏览器管理Cookie步骤 2.Cookie路径路径可通过setPath("/xxx")进行设置,这个路径直接决定服务器的请求是否会从浏览器中加载某些Cookie。 首先默认情况下,如果不设置Cookie的path,默认是“/项目名/当前路径的上一层地址”,如:请求路径:/cookie...
Cookie的作用域
weixin_34413357的博客
11-10 82
今天做东西的时候出现一个问题。 假如:一个用户进行登录验证,验证身份通过后,将生成的Token写入到Cookite当中。 用户进行登录验证的url: localhost/user/login 然后,有一个页面 localhost/index,它在未经过身份验证的时候,是无法访问的。 我用一个拦截器...
Cookie安全问题与防范
X先生说
04-21 2413
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
关于cookie设置使用注意事项(时间,路径
u014796999的博客
04-19 4200
1.设置的时候注意cookie设置时间和路径, 比如: setcookie('qq_accesstoken',$accesstoken,time()+86400,'/'); setcookie('qq_openid',$openid,time()+86400,'/'); 说明:最好路径设置成'/',网站更目录的绝对路径,这样可以全局使用 2.对应的清除cookie时,也要和设置
Cookie路径的作用范围示例代码
PerserveZ的博客
10-10 513
pageEncoding="UTF-8"%> Insert title here Cookie cookie = new Cookie("cookiePath", "CookiePathValue"); //设置 Cookie 的作用范围cookie.setPath(request.getContextPath());   response.add
cookie设置path引发的大坑……
桂小Z
12-03 2万+
知道答案之后发现这个问题很弱智,但是这种小东西往往也是很容易疏忽的…… 昨天,我要写一段代码,就是通过cookie判断用户正在浏览的界面,然后高亮菜单栏相应的那个菜单。 一开始是这么写的…… function highLight(obj){ var x=$(obj).index(); document.cookie=encodeURIComponent("navInd
浅谈cookie安全
xxx9686的博客
09-16 1522
对于cookie的实现,标准化是有一定安全问题的,所以在web应用实现cookie的同时,要注意各个方面的问题,不仅仅是对身份认证的盗取,可能还会有一些特殊场景下的cookie覆盖的危害。曾经有人就利用这种覆盖cookie的方法,对google进行了攻击,当登录了google的账号之后,使用者的搜索历史记录就会被记录在账号中,攻击者利用xss对cookie进行覆盖,受害者不知情的情况下,所有的操作都被记录到攻击者的账号中。由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9616
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
DVWA下的CSRF攻防实战(详解)
一期一会的博客
04-20 4683
DVWA下的CSRF攻防实战(详解) 我们简单谈一谈CSRF与XSS的区别: CSRF (cross site request forgery)跨站请求伪造。CSRF是用户在不知情的情况下提交请求,而XSS是用户自己点击链接来访问网页。 整个攻击过程: 用户浏览并登录受信任网站A(dvwa),登录成功以后网站A会返回浏览器的信息中带有已登录的cookiecookie信息会在浏览器端保存一定时间(根据浏览器设置而定),在用户没有退出网站A的情况下访问恶意站点B(这里在win2003制作一个危险网站),该危
关于security cookie
左雪菲的专栏
06-15 1661
这里主要讨论栈,不是堆。   首先,security cookie并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带security cookie保护的环境中,就不能正常溢出了。   那么,到底是什么是security cookie呢?   我觉得从广义上讲,它应该是一种保护栈的机制,提供这种保护的,是程序本身,编译进程序本身的代码提供的,而不是系统中某个
session和cookie安全
最新发布
06-28
### 回答1: Session和Cookie安全性都存在一定的问题。Session的安全性主要取决于Session ID的安全性,如果Session ID被猜测或者被盗取,攻击者就可以访问用户的Session数据。为了提高Session的安全性,可以采用加密、哈希等方式对Session ID进行保护。 Cookie安全性也存在一定的问题,如果Cookie被窃取,攻击者就可以模拟用户的身份进行访问。为了提高Cookie安全性,可以采用加密、签名等方式对Cookie进行保护。此外,还可以设置Cookie的过期时间,避免Cookie长时间存在,增加被攻击的风险。 ### 回答2: Session和Cookie是Web应用程序中常用的状态管理技术,用于保存用户信息和访问状态,但它们的安全性也是备受关注的话题。 Session是一种服务器端状态管理技术,通过在服务器端创建和维护Session ID来保存用户状态信息,同时将Session ID存储在客户端的Cookie中。由于Session ID存储在服务器端,从理论上讲,它应该Cookie安全。 但是,在实际应用中,攻击者可以通过一些手段来窃取Session ID。例如,恶意软件可以在用户计算机中浏览器缓存或临时文件中获取Session ID,跨站点脚本攻击也可以通过获取用户的Cookie或者伪造请求来获取Session ID。一旦攻击者获取到Session ID,就可以模拟用户会话,对Web应用程序造成严重危害。 为了保证Session的安全性,需要采取一些措施。例如,使用HTTPS协议来加密Session ID的传输,设置Session的过期时间和Session ID的强度,以及在服务器端对Session进行管理和验证等。 与Session相比,Cookie是一种客户端状态管理技术,将数据保存在用户的计算机中。虽然Cookie本身并不危险,但是在一些情况下,Cookie可能会被篡改或者窃取,从而导致安全风险。例如,恶意软件可以通过窃取Cookie来获取用户的敏感信息,钓鱼攻击则可以通过伪造Cookie来欺骗用户。 为了保护Cookie安全性,需要采取一些方法。例如,使用HTTPOnly属性来限制脚本访问Cookie的能力,使用Secure属性来保证Cookie只能通过HTTPS方式传输,避免Cookie中存储敏感信息,以及使用加密技术来保证Cookie安全。 总的来说,Session和Cookie都是在Web应用程序中常用的状态管理技术,为Web应用程序的安全性带来了挑战。需要采取一些措施来保护它们的安全性,从而保证Web应用程序的安全性和稳定性。 ### 回答3: Session 和 Cookie 作为 Web 开发中最常用的两种技术,都提供了一种存储有关用户信息的方法。它们的安全性是非常重要的,因为它们可能包含用户的敏感信息。下面从 Session 和 Cookie 的概念、使用方式以及安全性出发,介绍 Session 和 Cookie安全性问题。 Session 是一种记录服务器与客户端状态的机制,可以通过保存的数据在用户访问同一站点的不同页面时进行传递,从而实现功能的持续性。使用 Session 记录用户信息时,信息保存在服务器端,客户端只保存一个 session ID(类似于一个标识符)用于向服务器索取相应的数据。由于信息保存在服务器上,所以相对来说比 Cookie 更加安全。 但是,Session 在应用中并不是完全安全的,有一些常见的攻击方式例如 Session Fixation、Session Hijacking、Session Sniffing 等,会导致攻击者获取用户的敏感信息。 Session Fixation 指攻击者通过注入一个已有的,始终不变的 session ID 使用户登录成功,然后通过这组 session ID 去发送请求,这个时候由于 session ID 始终不变,这些请求被认为是合法的,并被服务器处理。这就使攻击者得到了用户的所有信息。 Session Hijacking 指攻击者通过拦截其他用户的 session ID,然后伪造该 ID,从而可以直接访问该用户的 Session 来盗取用户的敏感信息。 Session Sniffing 指攻击者通过窃取用户信息来获取 session ID,从而访问 session,进而获取用户的敏感信息。 而 Cookie 则基于客户端保存用户的信息,最常见的使用方式是将 cookie 存在客户端的浏览器中。如果 Cookie 包含了用户的敏感信息,如密码等,那么它的安全性就会更加脆弱,因为有各种手段可以攻击用户的浏览器,如 XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)等。 总之,Session 和 Cookie 都有着各自的优缺点,都需要在应用过程中小心谨慎使用。如果要确保 Session 和 Cookie安全性,最好避免在其存储任何敏感信息,使用 HTTPS 对应用进行加密等。同时,开发人员应该小心谨慎,保持操作的规范性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值