Cookie、Session、Token、csrf跨域请求伪造

已于 2022-03-13 16:05:14 修改
阅读量990 收藏 2
点赞数
文章标签: http 服务器 前端
于 2022-01-24 00:19:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39989608/article/details/122659379
版权

Http协议是无状态的协议,客户端发起http请求,与服务器建立http连接,服务器响应,http连接断开,客户端再起发起请求,与服务器建立新的http连接。服务器无法在连接上跟踪会话。

Cookie

cookie作用流程

  1. 用户输入用户信息,点击登录,浏览器发出登录http请求
  2. 服务器校验用户身份后,响应http请求,在response中添加头部
    Set-Cookie: key=value[;expires=<time>][;path=<path>][;domain=<domain>][;<secure>]
  3. 浏览器保存response中Set-Cookie的内容到文本文件
  4. 当用户访问该网站其他接口时,浏览器会将之前保存的cookie写到请求中并发出该请求
  5. 服务器解析cookie,得到用户身份、客户端状态,可以在response中添加头部Set-Cookie修改状态,给予用户响应。

客户端的状态信息存储在客户端,服务器没有存储消耗。
浏览器对cookie的大小和数量进行了限制,无法用cookie存储大量数据。单个cookie的大小限制为4k,一般浏览器限制数量为20。
cookie具有不可跨域名性,访问google.com只会用来自google.com的cookie,访问baidu.com只会用来自baidu.com的cookie,这是通过浏览器来保证的。
使用cookie不安全,容易遭到csrf(跨域请求伪造)攻击。

CSRF跨域请求伪造
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全开发之CSRF(请求伪造
XZ85201的博客
05-20 1313
概念:CSRF(Cross Site Request Forgery)请求伪造,顾名思义,是在的基础上利用伪造请求而达成的一种攻击手段。
CSRF请求伪造
Author_CHEN的博客
08-31 1422
CSRF请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网站、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF请求伪造 一、简介 二、举例 三、常用防御方式 1. session防御 2. 人工防御 3. 配置cookie的Same-Site 1. Strict 2. Lax 3. None 4. 服务端防御 四、拓展 一、简介 CSRF(Cross Site Request Fo
Web安全基础学习:暴力破解漏洞之Token伪造
qq_51862722的博客
06-18 786
Token伪造漏洞:顾名思义通过伪造JWT,以特定账户的身份欺骗系统完成验证。Token伪造是一类漏洞的统称,可以是最简单的弱密钥爆破,也可以是其他高危漏洞,但无论类型如何变化,都是基于Token进行攻击并对其身份认证功能产生威胁。
Backend - Django CSRF 请求伪造
是萝卜干呀的博客
01-29 1013
知识量决定了未来能走多远
CSRF请求伪造 及其解决办法
atom_shun的博客
01-08 1968
CSRF是什么鬼? CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF能干嘛? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购
关于请求CSRF),session会话,token验证机制。
adminwg的博客
08-14 862
关于请求CSRF),session会话,token验证机制。
关于CSRF请求伪造的解决办法
weixin_30457065的博客
06-02 82
关于CSRF请求伪造的解决办法 原文:关于CSRF请求伪造的解决办法中秋节时候我们的应用在短信验证码这块被恶意刷单,比如被用来做垃圾短信之类的,如果大规模被刷也能造成不小的损失。这还只是短信验证码,如果重要的API遭到CSRF的攻击,损失不可估量。所以紧急加班解决了CSRF的攻击问题。 CSRF是什么鬼? CSRF(Cross-si...
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1321
CookieSessionToken 的区别与用途
10 SpringSecurity-请求伪造(CSRF)的防护
02-22 4226
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
CSRF下的思考CookieSessionToken和JWT
qq_41841048的博客
05-05 1235
之前基于cookiesession有了大致了解,但是看完csrf之后感觉很乱,有了不少问题,于是做一个小总结,关于各种概念大家可以先去查一查其他的博文,该篇博文主要是针对个人一些疑问做记录 CSRF 伪造请求 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。...
Laravel开发-cookie-csrf
08-27
在Laravel框架中,CookieCSRF(Cross-Site Request Forgery,请求伪造)是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件,...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
- 存在站脚本攻击(XSS)和请求伪造CSRF)的风险。 2.6 面临的挑战 当客户端禁用Cookie时,服务端无法获取Cookie,这时可以通过其他方式如URL参数或隐藏表单字段传递信息,但这增加了暴露用户信息的风险。 ...
前后端常见的几种鉴权方式(小结)
11-30
这种方式简单易用,但存在请求伪造CSRF)的风险,且若Session数据存储在服务器端,会占用较大资源。 Token验证,特别是JWT(JSON Web Tokens),近年来变得流行。JWT是一种轻量级的身份验证机制,它包含三个...
sessionsession
04-05
- 请求伪造CSRF):Session也需防范这种攻击,通常通过验证Token来确保请求来源的合法性。 - 会话超时:设置合理的Session超时时间,避免用户长时间无操作导致服务器资源浪费。 - 多服务器部署:在分布式...
关于session丢失问题
03-01
6. **安全措施**:有些安全设置,如反请求伪造CSRF)的Token更新,可能会导致Session被清除。在设计系统时,需要考虑这些安全措施对Session的影响,并合理处理。 7. **多实例负载均衡**:在集群环境下,如果...
我去,怎么http全变https了
qq_17105113的博客
07-19 9193
HTTP的。
HTTP传输下载和P2P传输下载的区别?
最新发布
Nove1205的博客
07-25 427
HTTP传输下载和P2P(Peer-to-Peer)传输下载的区别
内网对抗-隧道技术篇&防火墙组策略&HTTP反向&SSH转发&出网穿透&CrossC2&解决方案
siu~
07-24 803
1、C2/C2上线-CrossC2插件-多系统平台支持 2、隧道技术篇-应用层-SSH协议-判断&封装&建立&穿透 3、隧道技术篇-应用层-HTTP协议-判断&封装&建立&穿透
token请求
04-21
当浏览器发送请求时,服务器会验证请求头中的token,并根据token的有效性来决定是否允许请求。 为了实现请求,需要在服务器端进行相应的配置。常见的解决方案包括: 1. CORS(资源共享):通过在服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值