前端安全系列之登录那些事

最新推荐文章于 2023-06-29 15:34:03 发布
VIP文章 最新推荐文章于 2023-06-29 15:34:03 发布
阅读量279 收藏
点赞数
文章标签: 前端 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129376497
版权

一、Cookie与Session

HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行保存。因为无法管理用户状态,对于要登录的页面,每次跳转新页面时都需要再次登录。

于是引入了Cookie来管理用户状态:

① 首先客户端发起不带Cookie信息的登录请求

② 服务端接收到请求,验证用户数据正确后,添加响应头Set-Cookie

③ 客户端收到响应报文后,检查到响应头Set-Cookie,在本地保存Cookie

④ 之后每次向该域发起请求时,自动添加请求头Cookie,发送给服务端

⑤ 服务端获取请求头Cookie,根据Cookie的值,就可以判断出用户是否登录

但是Cookie极容易被篡改和伪造,于是产生了Session,Session将用户信息保存在服务端,那么Session是如何管理用户状态的呢?

① 首先客户端发起不带Cookie信息的登录请求

② 服务端接收到请求,检查到没有携带口令,验证用户密码正确后生成Session,将用户信息保存在Session,设置响应头Set-Cookie,通常是将Session ID作为口令值

③ 客户端检查到Set-Cookie响应头,在本地保存Cookie信息

④ 之后每次发起请求时,自动在请求头Cookie中携带口令,发送给服务端

⑤ 服务端获取Cookie携带的口令值,找到对应的Session,就可以判断用户状态

二、如何让Session口令值更安全

虽然口令值由服务端生成,用户不容易伪造,But nothing is impossible;而且口令值存在客户端,就有可能被盗用。一旦口令值被伪造或盗用,攻击者就可以伪装成用户访问服务端的数据。

那么如何让Session口令值更安全呢?

① 将客户端的某些独有信息+口令值作为原值,对其进行签名

② 将口令值拼接签名返回给客户端,将Cookie设置为HttpOnly(禁止用户通过脚本来获取和更改Cookie)

③ 服务端再次收到请求,取客户端信息与口令值签名,与客户端携带的签名对比,不相等,说明请求不合法

这样的话:

① 即使攻击者知道了口令值,由于不知道密钥,无法伪造签名

② 即使攻击者通过某种方式得到了真实的口令值和签名,但是由于攻击者的客户端信息不一样,发送到服务端后,会得到不一样的签名,签名校验不能通过

三、多系统的复杂性

web系统由早期的单系统发展成多系统组成的应用

最低0.47元/天 解锁文章
哈喽沃德er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全系列:如何防止XSS攻击?
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
前端安全和防护:如何保护网站和用户信息的安全
baidu_38876334的博客
05-23 592
通过实施输入验证和过滤、安全的密码存储、使用HTTPS协议、安全的会话管理以及定期更新和维护依赖库等方法,我们可以大大降低前端安全威胁的风险。通过采取综合的安全措施和不断的技术创新,我们可以建立一个更加安全可靠的前端环境,保护用户的隐私和数据安全。使用强大的密码哈希算法:使用具有适当的哈希算法(如bcrypt、scrypt或Argon2)对密码进行哈希处理,并确保使用随机生成的盐值来增加密码的安全性。点击劫持:攻击者通过将透明的覆盖层放在诱导用户点击的元素上,来劫持用户的点击操作,实施恶意行为。
前端安全问题及解决方案
似水流年QC的博客
06-29 1101
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
前端安全问题以及解决方案汇总
qq_40334370的博客
12-08 1414
前端常见的7个安全方面问题:1.iframe2.opener3.CSRF(跨站请求伪造)4.XSS(跨站脚本攻击)5.ClickJacking(点击劫持)6.HSTS(HTTP严格传输安全)7.CND劫持。
前端登录安全
qq_37658342的博客
09-26 780
本文作者:哒哒哒打代码 本文链接:https://juejin.cn/post/6859214952704999438 在设计一个登录接口时,不仅仅是功能上的实现,在安全方面,我们还需要考虑哪些地方。 暴力破解:通过各种方式获得了网站的用户名之后,通过编写程序来遍历所有可能的密码,直至找到正确的密码为止 防范 1. 验证码 在它密码错误达到一定次数时,增加验证码校验!比如我们设置,当用户密码错误达到3次之后,则需要用户输入图片验证码才可以继续登录操作: 这样确实可以过滤掉一些非法的攻击,但是以目前的OC
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
java实现微信小程序安全系列-文本内容安全识别
06-16
此处微信出于自己安全考虑对频率进行了限制,单个appid呗限制调用频率如下:4000次/分钟,2000000次/天 代码实现 具体的出参入参大家可自行参考微信小程序开发文档,接下来我们看一下具体代码实现:
电源技术中的TI 推出电池充电器前端集成电路系列
12-06
日前,德州仪器 (TI) 宣布推出电池充电器前端集成电路系列,这些产品能够显著提高手机或其它便携式电子设备的充电保护功能。这些 2 毫米 x 2 毫米安全电路有助于保护系统免受输入过压、过流以及电池过压的...
CSRF
G_XUI的博客
09-04 313
CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 举个例子: 小明在刷gmail,突然看到一条链接,好奇点开了发现是个空白链接,就不管他,继续刷其他的。看似没有什么情发生,但实际上攻击者利用这个所谓的空白页给小明偷偷设置了一个过滤规则,这个规则使他收到的邮件都转发给了攻击者。 1、攻击特点 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。 攻击利用受害者在被攻击网站的登录凭证,冒充受害
登录的两种验证方式的区分:cookie和token
m0_73120712的博客
08-09 2011
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
还有人在纠结Facebook cookies还是双重验证码
liedaoshou的博客
10-24 397
那同样的Facebook算从验证码的登录方式其实也是一样的,准确的说你的Facebook账号不管你是购买的Facebook账号还是Facebook账号,还是你自己注册的Facebook账号,一定要有Facebook双重验证机制。他和我们的手机验证码是一个道理,你在登录Facebook账号的时候,除了你的Facebook账号和Facebook密码之外。你需要接收一个实时动态的密码。甚至说句不好听的,你可能所有用了这种插件或者这种类型的软件的人,开发者可能偷偷的给你做了很多操作,你自己都不知道而已。
jwt单点登录_使用jwt技术实现系统间的单点登录
weixin_39518840的博客
12-03 258
----我是吕一明,这是我的第四期进阶训练营,评论还不错,欢迎参加。----作者:君之见https://blog.csdn.net/jewelry008/article/details/72771489单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。一、JWT定义及其组...
使用Session和Cookie登录验证
热门推荐
u010266988的博客
04-06 1万+
1 背景 作为“自学成才”的野路子程序员,一直忙于CRUD,没有系统地学习CS基础知识,导致面试的时候屡屡被CS专业的同学diss,于是乎知耻而后勇,认认真真地补习基础知识,这篇博客就来学习、总结下啥是Cookie、啥是Session。 以前看过面试宝典,只知道Cookie是保存在客户端、Session保存在服务端,除此之外一无所知,直到昨天晚上躺在床上辗转反侧、思绪万千,看了一篇关于单点...
Cookie和Session详解
小小太空人的博客
03-20 2552
Cookie之前博客有介绍过,就是服务器在用户这边搞的一个持久化存储机制。通过服务器这边set-cookie进行设置,用户发起请求通过cookie字段将cookie中的内容发送到服务器,服务器就知道客户端这边处于一个什么样的状态。Session是搭配Cookie使用的(也可以不搭配)。对于一个登录需求来说,通过用户的SessionId(存储在Cookie中),服务器这边就可以判断用户是否处于一个登录状态。
Cookie 和 Session 详解 及实现用户登陆功能
qq_56444564的博客
02-02 3568
sessionId 是由服务器生成的一个 "唯一性字符串", 从 session 机制的角度来看, 这个唯一性字符串称为 "sessionId". 但是站在整个登录流程中看待, 也可以把这个唯一性字符串称为 "token".sessionId 和 token 就可以理解成是同一个东西的不同叫法(不同视角的叫法)服务器同一时刻收到的请求是很多的. 服务器需要清除的区分清楚每个请求是从属于哪个用户, 就需要在服务器这边记录每个用户令牌以及用户的信息的对应关系.浏览器提供的在客户端存储数据的一种机制。
前端常见安全性问题
m0_44973790的博客
04-22 7261
文章目录 一、常见的安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见的安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
前端常见的安全问题
laihongfeng的博客
03-07 7619
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击。攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
前端登录安全问题
sinat_36319434的博客
02-24 1197
对于前端开发来说安全问题很重要,我们不希望自己的密码之类的信息暴露出来被人获取。如果前端不加以限制,很多重要信息容易泄露。比如我们登录的时候,提交post,我们在浏览器控制台network的http请求中会直接看到密码。http协议是明文传输,只要别人一抓包就可以获取到传输的报文。 那为了让数据传输更安全,作为前端开发者的我们可以: 使用 https。HTTPS 协议是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完...
前端开发安全规范 vue
最新发布
07-26
前端开发安全规范是在使用Vue.js进行前端开发时,需要遵循的一系列安全措施和规定,以保障应用程序的安全性。以下是一些常见的前端开发安全规范: 1. 使用最新版本的Vue.js:及时更新Vue.js版本,以确保应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值