为什么一些网站要询问您是否接受cookies,所以到底什么是cookie?token?session?CSRF呢?例子?通俗一点

最新推荐文章于 2024-06-14 11:01:38 发布
最新推荐文章于 2024-06-14 11:01:38 发布
阅读量540 收藏 20
点赞数 20
分类专栏: 扯犊子 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64106946/article/details/139024034
版权

为什么一些网站要询问您是否接受cookies

所以到底什么是cookie?token?session?

cookie

网站Cookie是你正在访问的网站发送到你正在使用的设备上的小型文档,当你按下接受的时候,这些Cookie将会储存在设备的浏览器上,随后可以从浏览器追踪和收集你的使用数据,并且将该数据回传给网站经营者。这些数据上标记有你和你的计算机专有ID,网站服务器读取ID并分析保存下来的数据确定要为你提供哪些信息与服务

为什么一些网站要询问您是否接受cookies

因为cookie可以保存:网站名称和唯一对话ID,浏览历史记录,首选项与权限,访问次数,对话持续时间,点击的链接,登录凭证(包含使用者名称和密码),地理标记(地理位置和IP地址),个人数据(如电话号码和邮政编码),购物车活动

根据《GDPR 》法案限制,cookie被视为个人信息,网站服务方要获取时应该经过授权同意

cookie实现登录基本原理

http协议本身无状态,无法确定这一次请求和下一次请求是否“同一个人”

当客户端发送一个请求到服务器,服务端会生成一个httpSession,

然后给response装一个cookie(set-cookies),这个cookie一般是{“sessionId”:xxx}

下一次客户端再发送请求时,可以把这个cookie加在request header里,服务端就可以识别该请求和上一次请求”是一个人“

缺点:

  • session存储在服务端的内存或者数据库,用户变多,压力很大
  • cookie保存在客户端,由于登录等业务要求cookie长时间存留,如果被劫持,则全部信息可能被泄露

csrf跨站伪造

比如csrf跨站伪造就是通过诱导用户访问钓鱼链接,从中获取浏览器存储的cookie,伪造用户身份

举个例子:

客户端和淘宝断开连接后,但是客户端保存着淘宝给的cookie,这个记录着客户端的信息,用于确认客户端本人,但是钓鱼网站,给客户端发链接,让它点击了该链接进入一个页面,这个钓鱼页面里面可能写了如下代码:

<img src='http://www.taobao.com/action?k1=v1&k2=v2' width=0 height=0 />

这里width=0 height=0 表示图片是不可见的。这个语句会导致客户端浏览器器向另外的服务器(淘宝)发送一个请求。

因为浏览器不管该图片url实际是否指向一张图片,只要src字段中规定了url,就会按照地址触发这个请求。(浏览器默认都是没有禁止下载图片,这是因为禁用图片后大多数web程序的可用性就会打折扣)。加载图片根本不考虑所涉及的图像所在位置(可以跨域)。如果A网站不小心提供了get接口就非常不幸得中招了

意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功

转自:https://developer.aliyun.com/article/1105790#slide-2

token

客户端登录通过后,服务器生成一堆客户端身份信息,包括用户名、用户组、有那些权限、过期时间等等。另外再对这些信息进行签名

之后把身份信息和签名作为一个整体传给客户端。这个整体就叫做token。

之后,客户端负责保存该token,而服务器不再保存。

客户端每次访问该网站都要带上这个token。服务器收到请求后,把它分割成身份信息和签名,然后验证签名,若验证成功,就直接使用身份信息(用户名、用户组、有哪些权限等等)

与cookie的比较

优点:服务端不存东西,就保管一个密钥,压力小

JWT

在这里插入图片描述

步骤翻译:

  • 1、用户登录
  • 2、服务的认证,通过后根据secret生成token
  • 3、将生成的token返回给浏览器
  • 4、用户每次请求携带token
  • 5、服务端利用公钥解读jwt签名,判断签名有效后,从Payload中获取用户信息
  • 6、处理请求,返回响应结果

转自:https://cloud.tencent.com/developer/article/2084586

jwt原理

https://en.wikipedia.org/wiki/JSON_Web_Token

主要就是Header,Payload,Signature

header:使用哪种算法来生成签名(一般是HS256)

Payload:存储一些用户信息,解码jwt后可以获取到。

Signature:根据secret(自定义),对header和payload加密运算(base64)得到一个字符串

如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

https://zhuanlan.zhihu.com/p/569770479

https://blog.csdn.net/MarcoAsensio/article/details/99223439

编程就是n踢r
关注
  • 20
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
注销以后删除本地 cookie_Cookie测试 - 如何在web上测试Cookie
weixin_39716264的博客
11-28 279
不知道大家有没有发现,当我们第一次访问某些网站时,浏览器左上角会弹出一个对话框,提示将在该会话期间收集cookie,问你是否接受。我们可以选择接受或者拒绝,如果接受,这会通知系统我们已经将这些信息记录在服务器上。但究竟什么是cookies,它们的目的是什么?什么是CookiesCookie包含我们访问的每个网站收集的有关我们的有限数据。然后将信息存储在我们在会话期间使用的设备的硬盘驱动器内的文本...
如何检测页面是否允许访问Cookie
ZTao-z的博客
07-11 1626
cookie访问状态检测
Cookie编程基础:检查浏览器是否接受Cookie
每天=生命的最后一天
11-22 1318
 Cookie编程基础:检查浏览器是否接受Cookie  提要:一种确定浏览器是否接受 Cookie 的方法是先编写一个 Cookie,然后再尝试读取这个 Cookie。如果不能读取这个Cookie,则可以认为该浏览器不接受 Cookie。   检查浏览器是否接受 Cookie  我在前面的 Cookie 的限制一节中曾经提到一个潜在问题,即用户可以设置自己的浏览器拒绝接受 Coo
判断浏览器是否接受Cookies
zgqtxwd的专栏
05-01 852
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
单页面判断浏览器是否接受 Cookies
自言自语的响马
02-01 1242
在 asp 应用中,经常用到 Session 对象来保存用户临时私有数据,而 asp 的 Session 对象是依赖于浏览器的 Cookie 的,如果用户出于安全原因或者无意中关闭了 Cookie 选项,则 asp 将无法正确识别用户,最终导致 Session 对象不能正常使用。 要正确执行以后的程序,就要先识别客户程序是否接受 Cookie,然而浏览器并没有提供识别 Cookie 是否关闭的方法
以太坊智能合约及大部分Token都在用的ERC标准是什么?丨白话区块链入门273
01-07
在现实生活当中,我们经常在各种业内报道中看见 ERC 的身影,那么什么是 ERC 呢?今天大白就来和大家聊一聊。  01 智能合约 在讲 ERC 之前,先和大家科普一下智能合约,智能合约的概念最早是在 1994 年由尼克.萨博...
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
什么是DAPP?为什么说DAPP值得投资?.mp4
10-14
应用必须完全开源、自治且没有一个实体控制着该应用超51%Token,该应用必须能够根据用户的反馈及技术要求进行升级,且应用升级必须由大部分用户意见达成一致之后方可进行;2.应用数据必须加密后存储在公开的区块链上...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
Pikachu上的CSRF以及NSSCTF上的[NISACTF 2022]bingdundun~、 [SWPUCTF 2022 新生赛]xff
2401_82388450的博客
06-13 748
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。CSRF攻击的关键就是利用受害者的cookie向服务器发送伪造请求。CSRF利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。
CSRF令牌解析:保护web应用免受攻击
weixin_74923758的博客
06-12 1066
跨站请求伪造(CSRF)是一种广泛存在的网站攻击手段。与另一常见的攻击手段XSS(跨站脚本攻击)相比,CSRF并不试图窃取用户的数据,而是欺骗用户执行未授权的操作。这种攻击方式利用了Web应用中用户会话的一个漏洞,让攻击者可以伪装成信任的用户来执行某些操作。考虑一下,如果你不小心点击了一个恶意链接,那么你可能会在不知情的情况下执行了一些不应该执行的操作,例如转账、更改密码等。在这个具体示例中,我们通过生成、嵌入和验证CSRF令牌,确保了只有合法用户才能更改个人信息。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 565
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 295
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
HTML入门教程:深度解析HTML,开启你的前端技术之旅
最新发布
zhangwenok的博客
06-14 1272
HTML(HyperText Markup Language,超文本标记语言)是前端开发的基础,它负责构建网页的结构和内容。作为前端技术栈的基石,HTML的掌握程度直接影响到网页的开发效率和用户体验。本教程将带你从零开始,逐步深入了解HTML的各个方面,帮助你打下坚实的前端技术基础。HTML是一种用于创建网页的标准标记语言,它通过一系列的元素(elements)和标签(tags)来定义网页的结构和内容。HTML文档由一系列的元素组成,这些元素通过标签来标识。
Web前端设计大赛:创意与技术的碰撞
huejiaqwerty888的博客
06-12 375
在这场竞赛中,参赛者们不仅需要展现出独特的创意,还需要运用精湛的技术将创意转化为实际作品。本文将从四个方面、五个方面、六个方面和七个方面,深入剖析Web前端设计大赛的魅力和挑战。交互设计是Web前端设计的核心环节。参赛者需要关注页面的加载速度、响应速度以及操作的便捷性等方面,确保用户在使用过程中能够获得良好的体验。参赛者需要敢于突破传统的设计理念和技术限制,尝试新的设计手法和技术应用。参赛者需要在创意构思、视觉呈现、交互设计、用户体验、技术实现、性能优化以及创新性和可实践性等方面进行全面考虑和精心打造。
web前端拖拽工具:探索其复杂性、困惑度与爆发度
liyrbtqe_66w的博客
06-12 295
综上所述,Web前端拖拽工具虽然带来了便捷和效率,但同时也伴随着一定的复杂性、困惑度和挑战。对于开发者来说,深入了解拖拽工具的技术原理和应用场景,掌握其使用方法和优化技巧,是提升开发效率和降低项目风险的关键所在。然而,在实际项目中,由于项目需求、技术栈以及团队协作等多种因素的影响,开发者可能会遇到各种复杂的问题和挑战。然而,随着功能的增多和复杂化,开发者在使用拖拽工具时可能会遇到一些困惑和挑战。同时,随着Web组件化、模块化等趋势的普及,拖拽工具也可能会朝着更加标准化、可复用的方向发展。
SortTable.js + vxe-table 实现多条批量排序
小先生编程
06-12 612
环境: 功能: 实现表格拖动排序,支持单条排序,多条排序 实现思路: 官网只有单条排序的例子,网上也都是简单的使用,想要实现多条排序,就要结合着表格的复选框功能,在对其勾选的行统一计算! 最终效果: 实现代码
在vue2中cookietoken 都存在headel中,为什么不会劫持token呢?
05-30
我之前说的并不完全准确,如果将token直接存储在header中,是存在被劫持的风险的。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 为了避免这种情况的发生,通常会对token进行加密或者使用JWT等安全协议进行安全传输。在前端代码中,我们可以通过设置httpOnly属性来防止恶意脚本获取cookie。在后端代码中,我们需要对token进行严格的验证和过期时间的限制,以确保token的安全性。 总之,cookietoken的安全性是非常重要的,我们需要在多个层面上进行安全防范,确保用户信息的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程就是n踢r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值