快速了解Cookie/Session/Token,以及CSRF跨站攻击

最新推荐文章于 2023-10-21 13:50:15 发布
VIP文章 最新推荐文章于 2023-10-21 13:50:15 发布
阅读量429 收藏 3
点赞数 2
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kzc5335475/article/details/115652148
版权

快速了解Cookie/Session/Token,以及CSRF跨站攻击

本文主要介绍Cookie、Session以及Token的工作机制,以及CSRF跨站攻击,并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。

无状态的HTTP

Http协议本身是无状态的,也就是说每一次请求都是相互独立的,服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速,缺点就是在很多场景中,用户的每一步操作都是上下文关联的,比如网购往购物车里加东西,即使没有登录帐号,服务器也需要记住用户之前加购了啥,否则一刷新之前的加购记录全都丢了。所以我们需要额外的手段来帮助Http请求保持状态,记录用户信息

Cookie

Cookie介绍

Cookie的实现机制简单来说就是一段存储在客户端的文本信息。当需要使用到Cookie时,客户端向服务器请求后会从服务器的response中收到相关的Cookie信息,并且可以将它保存在本地并设置一个过期时间,在未过期之前,发送请求时都会带上这段Cookie信息,服务器则会根据Cookie分辨请求来自哪个用户。类似于购物车加购,免密登录都可以通过Cookie来实现。

Cookie的不足

但在实际的工程中,基本不会单独使用Cookie,因为它是明文存储的,安全性非常低,一旦被劫持后,所有信息都将暴露。接下来

最低0.47元/天 解锁文章
nemonobd
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
Session 登陆与 Token 登陆的区别 1、Session 登陆是在服务器端生成用户相关 session 数据,发给客户端 session_id 存放到 ... CSRF 攻击一般基于 cookie。另外,如果是原生 app 使用这种服务接口,因为没有浏览器 c
【浏览器内多个标签页之间的通讯、XSS和CSRF
weixin_40852935的博客
09-02 759
本题主要考察多页应用中各个页签之间数据交互的技术手段。Redux vuex这个是单页面应用里跨页面状态管理 多页应用 跨页面数据传递实现多页通讯主要有利用Cookiewebsocket。
CSRF Token为什么写在Cookie中?CSRF漏洞分析
CSDN1csdn1的博客
10-21 642
CSRF或XSRF,跨站请求伪造。简单地说,就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。这里最最关键的因素是令牌。用户在网站A登陆成功后,服务端颁发令牌并存储到浏览器中。
CSRF-跨站请求伪造
qq_31349051的博客
08-10 234
CSRF(Cross site request forger)跨站请求伪造,利用了网站对用户浏览器的信任,把攻击者伪装成合法用户向服务器发送请求,以达到其不可告人的目的。他的大致攻击流程是这样的: 用户访问一个正常网站,并在这个正常网站上进行了登陆,这时正常网站返回一个cookie来表明该用户已经登陆。 用户在cookie失效前,又访问了恶意网站。 恶意网站注入了一段恶意请求,这个请求指向用户刚刚访问的正常网站。 这个恶意请求会携带上正常网站的cookie,从而在服务端让恶意请求被误认为是用户正常发
TOKEN 部分知识20210101
做一只有梦想的蚂蚁
01-04 319
# 什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
前端安全之 防止CSRF攻击
F_efforts的博客
02-24 1829
前端方面不仅仅是把数据渲染在页面上而已、前端要做的事情很多 例如关于安全方面的问题就要做好 假设、一个管理系统,当你登陆系统以后、在你不做安全方面工作的化 别人可以通过你的接口来对你的数据进行增删改查、这就是csrf攻击 数据更改了、有可能会对公司造成很大的影响 关于解决这个问题可以参考如下方案 ----这是我的一个项目 后端用的Node的Express框架搭建...
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1162
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
CSRF安全漏洞
Given Wu
10-31 327
先看看跨站请求伪造(CSRF攻击)理解 一 概念 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/wit...
Vue中axios拦截器如何单独配置token
11-27
了解cookiesessiontoken的作用后学习token的使用 cookie cookie是随着url将参数发送到后台,安全性最低,并且大小受限,不超过4kb左右,它的数据保存在客户端 session session数据保存在服务端,在内存中...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
前端安全:如何防止CSRF攻击
01-27
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补
akka-http-session:Web和移动客户端akka-http会话,具有可选的JWT支持
02-05
akka-http-session使用cookie或自定义标头+本地存储提供Web和移动应用程序中客户端会话管理的指令,并具有可选的格式支持。 提供了以及代码示例(使用Java,但易于转换为Scala),该示例回答了有关会话如何工作,...
Django Web框架的curl。 向django服务器发出经过身份验证的请求。-Golang开发
05-26
Django身份验证依赖于两个cookiecsrftokensessionid。 一旦获得这些cookie,就可以为Django创建djangobot Curl。 向Django服务器发出经过身份验证的请求。 它是如何工作的 ? Django身份验证依赖于两个cookie:...
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 5959
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
CSRF漏洞剖析
zmzsg100的专栏
12-04 836
CSRF的前世今生
使用令牌token,来避免跨站请求伪造(CSRF攻击
yiyun88的专栏
11-30 1097
在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造(CSRF)等攻击。 1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域<input id="tokenV...
跨域post 及 使用token防止csrf 攻击
热门推荐
ymark
12-30 3万+
1.利用iframe进行跨域post提交 2.csrf攻击和防御措施 3.使用token保护请求 4.关于webapp跨域提交的问题
localStorage 使用详解
团子大圆帅的博客
11-29 2985
1. localStorage 简介 localStoragesessionStorage 一样,都是 HTML5 中最新引入的 Web 存储 API。 Web 存储 API,英文为 Web Storage API,通过它可以方便地在用户浏览器中存储键值对。 Web 存储 API 包括两个对象: localStorage sessionStorage 在 HTML5 之前,应用数据需要存放在 Cookie 中,每次请求时都需要携带它。相较而言,Web 存储 API 拥有以下优点: 不向服务.
keil5安装程序(包含keygen)
最新发布
05-21
keil5安装程序(包含keygen)适用于单片机学习
cookiesessiontoken区别\
03-27
1. Cookie是一种在客户端存储的数据,通常是一个小文件,可以存储在浏览器的缓存中,用于跟踪用户的行为或记录用户的偏好。...5. Token可以避免CSRF攻击,而CookieSession容易受到此类攻击的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值