web session token 和 防跨域攻击

最新推荐文章于 2024-08-18 17:25:38 发布
最新推荐文章于 2024-08-18 17:25:38 发布
阅读量792 收藏
点赞数
分类专栏: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harryhare/article/details/83099012
版权

主要是想推荐一下这篇:

实现一个靠谱的Web认证

下文是看过后自己的理解。顺便说下这个人的其他文章也很赞。

session 和 token

session id 比较常见,就不多说了,这里先科普下无状态的token验证:

干掉状态:从session到token
token
图是从上面的链接中偷的。

总结下,就是:

login_handler(){
	signature = hash(user_info, private_secret)
	token = (user_info: signature)
	send_to_client( token )
}

request_handler(){
    token=receive_from_client() 
	signature = hash(user_info, private_secret)
	if (token.signature != signature){
	    send_to_client("wrong signature")
	    return
	}
	// todo process request
}

XSS 和 CSRF

基本概念:

  • XSS(Crossing Site Script)
    例子:坏蛋在某网站的可编辑部分注入脚本,脚本发送信息到坏蛋的服务器后台,坏蛋收集到网站的用户信息/cookie。
    根源:网站没有对用户输入的信息做过滤。

  • CSRF(Crossing Site Recource Forge )
    例子:坏蛋在他们自己网站上加入对某网站API的调用,由于浏览器会自动填充cookie信息,所以如果网站后端只是用cookie认证,则API 会在用户不知情的情况下被执行。比如用户在不知情的情况下,向坏蛋转账了100块。
    根源:网站服务器没有拒绝跨域请求。传统的post表单总是可以跨域(application/x-www-form-urlencoded)?

cookie 的三个属性:

  • Secure;
    只有https 请求,cookie才会被携带。避免http的问题。

  • HttpOnly;
    用js 读不到?只是会在发送时自动携带。避免针对cookie的XSS

  • Same-Site=strict;
    只有在相同网站中才会填充cookie。避免CSRF

harryhare
关注
专栏目录
Java 跨域攻击 解决方案
Allen_qin的博客
11-23 386
利用css漏洞进行跨域攻击 #header{ width:72px;background:url("javascript:document.body.onload = function() { 攻击性javascript代码}) } 太变态了, 看到没,只要调用了header样式就能实现跨域攻击了。 其实他是利用在设置background图像的时候,会请求给出的图像地址,这里...
php 跨域提交表单,跨域post 及 使用token止csrf 攻击
weixin_39848953的博客
03-21 433
环境:后台使用的python - flask前台使用angular框架1.一个跨域post的样例:样例使用的为iframe,想要证明,在没有进行csrf御时,随意攻击者能够利用javascript发送 post 请求。从而简单的提交或获取数据资料;1.本地test.html页面POSTfunction test() {crossDomainPost({url: 'http://localhost...
内网安全:跨域攻击
最新发布
8888的博客
08-18 1438
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi。Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt。查看当前域中计算机的权限。
Web应用中的Cookie, Session, Token机制
般若
12-08 899
要解决HTTP协议无状态的问题,提升Web应用的交互体验,通常有三种方案:Cookie, Session, Token
跨域post 及 使用token止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf的攻击御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
Web技术:TokenSession究竟是什么呢
weixin_33953384的博客
02-13 148
前言 在web中,我们经常说session,token,cookie。这三个内容,究竟啥区别,为什么会有这三个内容呢?这就是我们今天想要讨论的。 故事,美好的开始 洋洋: 琪琪,你们原先的开发 权限是怎么认证的? 琪琪: 权限?不就是拦截器嘛?通过拦截不同的url,进行拦截,然后进行校验。 洋洋: 那你们用过shiro嘛?进行权限校验的。 琪琪: 那个倒是没用过,我原先了解是用token做的,然...
Cookie、SessionToken三者的区别及使用
11-13
- **Token**特别适合API认证和跨域访问的场景,具有更高的安全性和灵活性。 根据不同的应用场景和技术需求,选择合适的方案是关键。例如,在安全性要求较高的场景下,使用Token结合适当的加密算法是一种常见做法;...
浅谈Ajax跨域Session跨域访问
10-25
Ajax跨域请求和跨域Session是前端开发中经常遇到的问题,它们对于保证Web应用的安全性和用户体验都至关重要。在处理跨域问题时,开发人员需要注意很多细节和规则,以确保数据的正确传输和用户状态的正确识别。 首先...
iframe跨域session失效问题的解决办法
10-26
总结起来,解决iframe跨域session失效的问题,关键在于处理第三方cookie的访问控制和IE浏览器的P3P协议要求。合理的P3P声明是关键所在,它能允许浏览器在符合用户隐私政策的前提下,正确地处理来自第三方源的...
彻底理解cookie,sessiontoken的使用及原理
10-16
总的来说,cookie、sessiontoken都是现代Web应用中不可或缺的技术,它们各自具有独特的特点和应用场景。理解它们的工作原理以及在实际应用中的利弊,对于开发安全、高效、可扩展的Web应用至关重要。
JWT-Json Web Token-目前最流行跨域身份验证解决方案
04-25
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。传统的...
XSS跨域攻击web项目中的范,基于antisamy技术
07-10
介绍了XSS跨域攻击web项目中的范,基于antisamy技术。
系统开发系列 之web开发中cookie、sessiontoken的使用
langxiaolin的博客
05-30 391
1 介绍 客户端与服务端请求响应的关系: USER(客户端) 请求 tomcat(服务器), 属于HTTP请求。http请求是无状态的,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;所以当用户从客户端请求一次登录后,登录成功,再次进行请求时,因为tomcat不能识别这两次会话都是来自同一个浏览器,即服务端不知道客户端的历史请求记录;就会再次弹出登录对话框。 会话:可以理解为用户打开浏览器,访问该web服务器的多个资源,然后关闭浏览器,这中间的一系列过程称之为一个会
jwt 如何token被拦截_SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
weixin_42501373的博客
02-26 423
一、传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。3、服务器向返回sessionId,写入客户端 Cookie。4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力大。2...
【Go】十三、TOKEN机制与跨域处理方式
weixin_41365204的博客
06-13 986
对于微服务场景来说,使用 cookie + session 来进行身份校验是一种不合适的做法,因为 生成的sessionid 是不存储任何信息的,这样我们如果要在其他模块中进行身份校验就是做不到的,例如:我们无法在商品模块中筛选出对应登录用户上传的商品,因为我们无法通过sessionid 知道当前登录的是哪个用户。由此,登录逻辑中产生了 TOKEN 的做法,TOKEN 中会携带一定的用户信息,这样即使不处于用户模块,也可以获取用户的相关信息 - 利用 TOKEN 中的用户信息去另外的模块进行查找。
跨域用户信息判断Token、seeion、jwt
xxoon
04-08 1130
多系统单一位置登录,实现多系统同时登录的一种技术。 单点登录一般用于互相授信的系统,实现单一登录,全系统有效。 三方登录:某系统,使用其他系统的用户,实现本系统登录的方式。解决信息孤岛,信息不对等的实现方案。 Session跨域 所谓Session跨域就是摒弃了系统提供的session,而使用自定义的类似session的机制来保存客户端数据的一种解决方案。 如:通过设置 cookie 的 domian 来实现 cookie 的跨域传递,在 cookie 中传递一个自定义的 session_id 。这个 se
webSESSION的原理以及跨域验证
Code Metaverse
07-15 481
一、适用范围 仅限于web端的身份验证,和app端使用的jwt验证是不同的。 二、SESSION 为什么存在SESSION 首先,HTTP是无状态的,每次请求相互独立,这样就会造成,你不认识我,我也不认识你。 但显然这样是不能满足需求的,对于用户体系的网址,我们需要知道每次请求的用户是谁,这样才可以在这个基础上对用户的数据进行操作。 那么,如果服务器保存一个用户标识,每次客户端请求数据都带着标识,这个服务器就知道是哪个用户进行的操作,这也就是为什么存在SESSION SESSION的生成和校验 客户端第一
WEB常识 八 TokenSession 的区别
W_H_M_2018的博客
09-22 173
什么是 JWT JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。 是一种认证授权机制。 JWT 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。 阮一峰老师的 JSON Web Token
前端携带token结果被去掉,以及跨域配置(全网最详细配置)
weixin_42759398的博客
04-25 1030
预检请求是在实际请求之前发出的OPTIONS请求,用于检查服务器是否允许实际请求。在你提供的两个请求中,第一个是OPTIONS请求,用于进行预检,检查服务器是否支持实际请求中包含的请求头和方法。如果预检请求导致实际请求中的自定义请求头被去掉,可以尝试在服务器端配置支持跨域请求时包含自定义请求头。:在请求拦截器中添加更多的日志记录来查看实际请求发送时的请求头情况,以便更好地理解问题所在。:可以尝试使用其他工具或方法来处理请求头,确保在实际请求中包含所需的自定义请求头信息。第二个直接把我的自定义的请求头去掉。
详解:Web应用中的CSRF攻击原理与护策略
本文深入探讨了跨站请求伪造(CSRF,Cross-Site Request ...理解并采取措施对抗CSRF是保障Web应用安全的重要环节,开发人员和网站管理员需密切关注这类攻击手法的发展,并不断优化御措施,以保护用户数据和隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值