Cookie 防伪造 防修改

最新推荐文章于 2024-06-13 21:20:28 发布
最新推荐文章于 2024-06-13 21:20:28 发布
阅读量644 收藏
点赞数 2
分类专栏: 个人技术分享

  主要防止非法用户修改cookie信息,以及cookie的超时时间

  传统cookie存储,Cookie(name, value),value很容易就被篡改。

  防修改cookie存储,Cookie(name, value+“”+ signToken+“”+saveTime+“”+maxTime)

  signToken :签名密钥 由md5(value+saveTime+maxTime+”自定义密钥“)生成

  saveTime:cookie创建时间

  maxTime:cookie超时时间

 

  设置Cookie

 

  public static void put(HttpServletResponse response, String key, String value, int maxTime) {

  String pwdKey = white_yu; //自定义密钥

  String saveTime = System.currentTimeMillis() + ;

  String signToken = md5(pwdKey, saveTime, maxTime + , value);

  String cookieValue = signToken + + saveTime + + maxTime

  + + value;

  Cookie cookie = new Cookie(key,cookieValue);

  cookie.setMaxAge(maxTime);

  response.addCookie(cookie);

  }

 

  获取Cookie

 

  public static String getCookie(String cookieValue) {

  String pwdKey = white_yu; //自定义密钥

  if (StringUtils.isNotBlank(cookieValue)) {

  String cookieStrings[] = cookieValue.split();

  if (null != cookieStrings 4 == cookieStrings.length) {

  String signToken = cookieStrings[0];

  String saveTime = cookieStrings[1];

  String maxTime = cookieStrings[2];

  String value = cookieStrings[3];

  String sign = md5(pwdKey, saveTime, maxTime, value);

  // 保证 cookie 不被人为修改

  if (sign.equals(signToken)) {

  long stime = Long.parseLong(saveTime);

  long maxtime = Long.parseLong(maxTime) * 1000;

  // 查看是否过时

  if ((stime + maxtime) - System.currentTimeMillis() 0) {

  return value;

  }

  }

  }

  }

  return null;

  }

已转行此号停用
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie篡改机制
weixin_34162629的博客
05-21 267
一、为什么Cookie需要篡改 为什么要做Cookie篡改,一个重要原因是 Cookie存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求,HTTP请求头会带上CookieCookie里面就包含有SessionID。 后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。 服务...
关于学习Token、JWT、Cookie等验证授权方式的总结
最新发布
qq_63218110的博客
06-13 1066
本文主要介绍Cookie、JWT、ThreadLocal等知识点。
011-如何让用户无法篡改cookie?
李观杰的博客
04-08 1566
<?php /** * 如何让用户无法篡改cookie? * 提示: * md5+salt应用于项目 */ # == lib/config.php ================================================================================ return array( 'host'=>'l...
防止cookie被盗用
AlgorithmHero的博客
08-21 872
在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。通过设置 Cookie 的 Domain 属性,可以限制 Cookie 只在特定的域名下有效,减少跨站点攻击的风险。尽量避免使用过于宽泛的域名。在开发应用时,采用安全的编码和开发实践,以减少漏洞的可能性,包括 XSS 和 CSRF 攻击。
Django CSRF跨站请求伪造护过程解析
09-18
7. **安全最佳实践**:除了Django的内置护,开发者还应确保所有敏感操作(如修改、删除等)都通过POST、PUT、DELETE等非幂等性请求完成,并且只在POST请求检查CSRF令牌。 通过理解Django的CSRF护机制,开发者...
360提供的phpsql注入代码修改
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
web攻击技术与
01-26
2. **Cookie窃取**:攻击者可以利用JavaScript读取用户的Cookie值,进而冒充用户的身份进行非法操作。 3. **恶意操作**:通过脚本控制,攻击者可以篡改页面内容,展示伪造的信息,甚至引导用户进行恶意操作。 **跨...
cookie 修改欺骗必备工具
12-29
通过修改伪造Cookie,攻击者可以冒充其他用户,执行未经授权的操作,例如登录他人的账户、篡改数据或者获取敏感信息。这就是所谓的Cookie欺骗。因此,了解如何修改Cookie并识别潜在的安全风险至关重要。 Cookie...
在DjangoCSRF攻击的操作
09-17
CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、进行支付等。为了保护用户的隐私和财产安全,Django提供了内置的CSRF护机制。 ...
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1463
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现欺骗。(2)将id和验证串check_code保存到cookie,将check_key保存到用户表记录字段。(6)Users类创建验证方法。...
cookie安全隐患及篡改机制
diaolanbeng0962的博客
05-03 353
Cookie和Session是为了在无状态的HTTP协议之上维护会话状态,使得服务器可以知道当前是和哪个客户在打交道。本文来详细讨论Cookie和Session的实现机制,以及其涉及的安全问题。 因为HTTP协议是无状态的,即每次用户请求到达服务器时,HTTP服务器并不知道这个用户是谁、是否登录过等。现在的服务器之所以知道我们是否已经登录,是因为服务器在登录时设置了浏览器的Cooki...
cookie的安全隐患以及篡改机制
浮生离梦的博客
05-28 6129
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
Cookie伪造修改
weixin_34284188的博客
04-10 239
2019独角兽企业重金招聘Python工程师标准>>> ...
修改cookie java_Java之道丨Cookie 伪造 修改-cookies设置
weixin_34511754的博客
02-27 690
Cookie 概述Cookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web 应用程序都可以读取的信息。为什么需要Cookie? 因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话Cookie 正是这样的一段随HTT...
总结Cookie安全:安全风险和范建议
Neonline254的博客
05-23 3473
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
cookie和CSRF的
09-27
御CSRF(跨站请求伪造)攻击cookie起到了重要的作用。可以采取以下措施来御CSRF攻击: 1. 使用SameSite属性:将cookie的SameSite属性设置为Strict或Lax,可以限制跨站点请求的发送方式,从而减少CSRF的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值