cookie 和 token 都存放在 header 中,为什么不会劫持 token?

最新推荐文章于 2024-09-29 22:28:57 发布
最新推荐文章于 2024-09-29 22:28:57 发布
阅读量2.5k 收藏 16
点赞数 2
分类专栏: http 文章标签: html html5 javascript http cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucongmei92/article/details/114291125
版权

cookie:登录后服务端生成的sessionid,并在http请求里返回到客户端,同时服务端保存sessionid,以后客户端的每次http请求都带上cookie(sessionid),服务端会获取cookie(sessionid)然后验证用户的身份。所以拿到cookie就拿到了sessionid,就可验证通过。同时浏览器会自动携带cookie;

token:同样是登录后服务端返回一个token,客户端保存起来,在以后http请求里手动的加入到请求头里,服务端根据token 进行身份的校验。浏览器不会自动携带token。

CSRF 跨站点请求伪造:通过浏览器会自动携带同域cookie的特点。cookie的传递流程是用户在访问站点时,服务器端生成cookie,发送给浏览器端储存,当下次再访问时浏览器会将该网站的cookie发回给服务器端

  • 如果用户登陆了A网站,拿到了cookie,又点击了恶意的网站B。
  • B收到请求以后,返回一段攻击代码,并且发出一个请求给网站A。
  • 浏览器会在用户不知情的情况下,根据B的请求,带着cookie访问A。

由于HTTP是无状态的,A网站不知道这个请求其实是恶意网站B发出的,就会根据cookie来处理请求,从而执行了攻击代码。

而浏览器不会自动携带 token,所以不会劫持 token。

XSS:跨站脚本工攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击。

就是说,cookie和token都可能被拿到,所以都废了。
Session、CookieToken会话管理方式
Outengteng的博客
11-16 434
1、基于服务端session的管理 原理: 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同的session对象。 服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求时候,就会通过cookie把sessionid传回给服务器,以便服务器能够根据sessionid找到与该用户对应
会话管理之Session、cookietoken
trulyfeixue的博客
12-11 687
会话管理之Session、cookietoken HTTP是无状态的,每次请求都是一个新的HTTP协议,就是请求加响应,不知道是谁刚刚发了HTTP请求,每个请求都是全新的。但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车放商品,也就是说必须把每个人区分开。 一、 session 为解决上面的问题,想出的办法就是给大家发一个会话标识(session id),就是一个随机的字串,每个人收到的都不一样, 每
为什么cookietoken存放header,我们建议使用token
P19777的博客
10-22 1万+
说这个原因之间,我们需要先了解一下什么叫CSRF。 CSRF 文翻译过来就是跨站请求伪造(英语:Cross-site request forgery) 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 感觉又不得不说XSS了。 XSS 叫跨站脚本攻击...
你的 token 是安全的吗?(如何防范伪造、篡改、窃取的问题)
最新发布
良月柒
09-29 202
阅读本文大概需要 4 分钟。来自:juejin.cn/post/7384632888321015819推荐一个程序员编程资料站:http://cxyroad.com副业赚钱专栏:https://xbt100.top2024年IDEA最新激活方法后台回复:激活码CSDN免登录复制代码插件下载:CSDN复制插件以下是正文。引言随着IT和互联网的发展,从国家到企业,网络安全成为数字经济安全的重要内容,是...
cookietoken 都是存放header ,为什么 token 不容易被劫持
weixin_64684095的博客
06-28 290
1. 攻击者通过 xss 就可以拿到 cookie 了,然后就可以伪造 cookie。而 token 一般是放到 jwt 下发给客户端的,存储位置不固定,不会cookie 那样,通过 document.cookie 就可以拿到。而且就算拿到了 token,也是无效的 jwt。2. 通过 SCRF 在同个浏览器下通过浏览器会自动带上 cookie 的特性。在通过:用户网站-攻击者网站-攻击者请求用户网站的方式,浏览器会自动带上 cookie。而 token 不会浏览器自动带上。
token会被截取吗_今天才发现,原来电脑还有5种截图方法,你还不知道吗?
weixin_39775577的博客
10-29 244
现在无论是在生活还是在工作都会用到电脑,遇到有趣或者重要的图片都想要截取下来,下面就教大家5种电脑截屏的方法,看完以后就不用再担心自己不会了。一、电脑自带的截图功能1、快捷键:Prtsc SysRq这个快捷键在键盘的右上角部分,直接按下它,就可以将电脑的整个屏幕截取下来,不过你按下之后是没有任何截屏反应的,你需要打开Word或者聊天框,按下快捷键【Ctrl+V】将图片进行粘贴才能显示出来。2、...
【前端安全】cookietoken存放header,为什么不会劫持token
'Ablaze 的专栏
08-05 1万+
token不是为了防止XSS的,而是为了防止CSRF的; CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token; 以CSRF攻击为例: cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作; token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作; ...
在vue2cookietoken 都存在headel,为什么不会劫持token呢?
05-30
我之前说的并不完全准确,如果将token直接存储在header,是存在被劫持的风险的。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 为了避免这种情况的发生,通常会对token进行加密或者...
在vue2cookietoken 都存在headel,为什么不会劫持token
05-30
在Vue2,将cookietoken存储在header,是通过在前端发送请求时在header添加cookietoken来实现的。这种方式的确存在一定的安全风险,因为header信息是可以被篡改、劫持的。如果攻击者成功劫持了用户的token...
在vue2cookietoken 都存在headel了,为什么还会出现不会劫持token的情况呢?
05-30
在Vue2,将cookietoken存储在header是为了方便前后端数据交互,但是这种方式确实存在被劫持的风险。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 但是,我们不会出现“不会劫持...
关于JWT的token,如果被截取
热门推荐
weixin_40105587的博客
10-13 1万+
首先这不是JWT的问题,而是http通讯的安全问题,总所周知http是采用的明文通讯,所以很容易就能够被窃取到http通讯报文。现在网站大多是http通讯,那也都面临着cookie截取的问题,JWT同理 解决办法: 采用https 或者 代码层面也可以做安全检测,比如ip地址发生变化,MAC地址发生变化等等,可以要求重新登录  ...
如何避免token被截获后的重放攻击(Java)
咘噜biu的博客
10-29 3054
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
Cookieheader的联系
RockOndayDream
09-18 8453
最近在深入学习HTTP相关知识,遇到Cookieheader的概念,为了清除的区分开,特地查询资料,做如下整理 header header说白了就是消息头,它包括了request header请求头和response header响应头。 cookie 百度其文名为(储存在用户本地终端上的数据),Cookie作为一种标识符,由服务器端创建,存储在浏览器客户端。 CookieHeader的联系 header包含了cookie和session,编码,协议类型,返回类型,提交的参数,客户端信息等。 消息头
jwt token截取的安全问题
xuedong的博客
03-06 6510
用户jwt鉴权流程 1.用户使用用户名密码来请求服务器 2. 服务器进行验证用户的信息 3.服务器通过验证发送给用户一个token 4.客户端存储token,并在每次请求时附送上这个token值 5. 服务端验证token值,并返回数据 jwt token生成和校验 使用私钥加密生成token 公钥解密获取token的信息 防止jwt token被窃取 采用https 或者...
科普文:软件架构设计之【如何确保JWT的安全性:伪造、篡改、窃取?】
为无为,事无事,味无味。
08-15 1022
❝Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。应对安全问题,我们需要多举措并行。
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4415
cookies,session,token都是相对安全,并不能完全防窃取
安全的cookietoken机制
kekefen01的博客
12-16 1426
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值