cookie 和 token 都存放在 header 中,为什么不会劫持 token?

最新推荐文章于 2024-06-28 10:55:57 发布
最新推荐文章于 2024-06-28 10:55:57 发布
阅读量2.5k 收藏 16
点赞数 2
分类专栏: http 文章标签: html html5 javascript http cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucongmei92/article/details/114291125
版权

cookie:登录后服务端生成的sessionid,并在http请求里返回到客户端,同时服务端保存sessionid,以后客户端的每次http请求都带上cookie(sessionid),服务端会获取cookie(sessionid)然后验证用户的身份。所以拿到cookie就拿到了sessionid,就可验证通过。同时浏览器会自动携带cookie;

token:同样是登录后服务端返回一个token,客户端保存起来,在以后http请求里手动的加入到请求头里,服务端根据token 进行身份的校验。浏览器不会自动携带token。

CSRF 跨站点请求伪造:通过浏览器会自动携带同域cookie的特点。cookie的传递流程是用户在访问站点时,服务器端生成cookie,发送给浏览器端储存,当下次再访问时浏览器会将该网站的cookie发回给服务器端

  • 如果用户登陆了A网站,拿到了cookie,又点击了恶意的网站B。
  • B收到请求以后,返回一段攻击代码,并且发出一个请求给网站A。
  • 浏览器会在用户不知情的情况下,根据B的请求,带着cookie访问A。

由于HTTP是无状态的,A网站不知道这个请求其实是恶意网站B发出的,就会根据cookie来处理请求,从而执行了攻击代码。

而浏览器不会自动携带 token,所以不会劫持 token。

XSS:跨站脚本工攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击。

就是说,cookie和token都可能被拿到,所以都废了。
未来可期_zan
关注
专栏目录
Session、CookieToken会话管理方式
Outengteng的博客
11-16 412
1、基于服务端session的管理 原理: 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同的session对象。 服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求时候,就会通过cookie把sessionid传回给服务器,以便服务器能够根据sessionid找到与该用户对应
为什么cookietoken存放header,我们建议使用token
P19777的博客
10-22 1万+
说这个原因之间,我们需要先了解一下什么叫CSRF。 CSRF 文翻译过来就是跨站请求伪造(英语:Cross-site request forgery) 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 感觉又不得不说XSS了。 XSS 叫跨站脚本攻击...
cookietoken 都是存放header ,为什么 token 不容易被劫持
最新发布
weixin_64684095的博客
06-28 237
1. 攻击者通过 xss 就可以拿到 cookie 了,然后就可以伪造 cookie。而 token 一般是放到 jwt 下发给客户端的,存储位置不固定,不会cookie 那样,通过 document.cookie 就可以拿到。而且就算拿到了 token,也是无效的 jwt。2. 通过 SCRF 在同个浏览器下通过浏览器会自动带上 cookie 的特性。在通过:用户网站-攻击者网站-攻击者请求用户网站的方式,浏览器会自动带上 cookie。而 token 不会浏览器自动带上。
token会被截取吗_今天才发现,原来电脑还有5种截图方法,你还不知道吗?
weixin_39775577的博客
10-29 232
现在无论是在生活还是在工作都会用到电脑,遇到有趣或者重要的图片都想要截取下来,下面就教大家5种电脑截屏的方法,看完以后就不用再担心自己不会了。一、电脑自带的截图功能1、快捷键:Prtsc SysRq这个快捷键在键盘的右上角部分,直接按下它,就可以将电脑的整个屏幕截取下来,不过你按下之后是没有任何截屏反应的,你需要打开Word或者聊天框,按下快捷键【Ctrl+V】将图片进行粘贴才能显示出来。2、...
【前端安全】cookietoken存放header,为什么不会劫持token
'Ablaze 的专栏
08-05 1万+
token不是为了防止XSS的,而是为了防止CSRF的; CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token; 以CSRF攻击为例: cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作; token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作; ...
在vue2cookietoken 都存在headel,为什么不会劫持token呢?
05-30
我之前说的并不完全准确,如果将token直接存储在header,是存在被劫持的风险的。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 为了避免这种情况的发生,通常会对token进行加密或者...
在vue2cookietoken 都存在headel,为什么不会劫持token
05-30
在Vue2,将cookietoken存储在header,是通过在前端发送请求时在header添加cookietoken来实现的。这种方式的确存在一定的安全风险,因为header信息是可以被篡改、劫持的。如果攻击者成功劫持了用户的token...
在vue2cookietoken 都存在headel了,为什么还会出现不会劫持token的情况呢?
05-30
在Vue2,将cookietoken存储在header是为了方便前后端数据交互,但是这种方式确实存在被劫持的风险。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 但是,我们不会出现“不会劫持...
Cookie、Session、Token(没懂的话再看一遍)
Indomite的博客
12-26 432
Cooike、Session、Token 接触了这么久的Web,有必要好好总结下这一块了 什么是无状态HTTP协议 在网络没有当今这么发达的时代,Web基本就是用于文档的浏览,作为服务器而言也就是根据相应,加载对应的相应就是了,也就是说不需要记录你干了什么,你有什么,我只知道你请求了,我返回就是了,咱们到此结束就是了。每次请求都会是一次全新的请求。当然没有什么状态的存储一说。 所谓无状态HTTP协议,就是没有保存状态罢了。 会话机制出现 在这么一种没有存储的情况之下,随着网络技术的发展,Web也变得越来越强
关于JWT的token,如果被截取
热门推荐
weixin_40105587的博客
10-13 1万+
首先这不是JWT的问题,而是http通讯的安全问题,总所周知http是采用的明文通讯,所以很容易就能够被窃取到http通讯报文。现在网站大多是http通讯,那也都面临着cookie截取的问题,JWT同理 解决办法: 采用https 或者 代码层面也可以做安全检测,比如ip地址发生变化,MAC地址发生变化等等,可以要求重新登录  ...
如何避免token被截获后的重放攻击(Java)
咘噜biu的博客
10-29 3032
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
Cookieheader的联系
RockOndayDream
09-18 8260
最近在深入学习HTTP相关知识,遇到Cookieheader的概念,为了清除的区分开,特地查询资料,做如下整理 header header说白了就是消息头,它包括了request header请求头和response header响应头。 cookie 百度其文名为(储存在用户本地终端上的数据),Cookie作为一种标识符,由服务器端创建,存储在浏览器客户端。 CookieHeader的联系 header包含了cookie和session,编码,协议类型,返回类型,提交的参数,客户端信息等。 消息头
jwt token截取的安全问题
xuedong的博客
03-06 6474
用户jwt鉴权流程 1.用户使用用户名密码来请求服务器 2. 服务器进行验证用户的信息 3.服务器通过验证发送给用户一个token 4.客户端存储token,并在每次请求时附送上这个token值 5. 服务端验证token值,并返回数据 jwt token生成和校验 使用私钥加密生成token 公钥解密获取token的信息 防止jwt token被窃取 采用https 或者...
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4314
cookies,session,token都是相对安全,并不能完全防窃取
安全的cookietoken机制
kekefen01的博客
12-16 1408
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
token会被截取吗_OAuth2 为什么要用 code 换 token
weixin_39941262的博客
11-22 1767
先简单介绍下 OAuth2,再用一个例子说明下为什么要用 code 换 tokenOAuth2 简单介绍4 个角色resource owner可以授权访问被保护资源的实体,如果是人的话,即是最终用户resource server存储被保护资源的服务器,使用 access token 可以访问受保护的资源client经由 resource owner(即用户) 授权,访问受保护资源的应用程...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值