Cookie、Session、Token、csrf跨域请求伪造

已于 2022-03-13 16:05:14 修改
阅读量987 收藏 2
点赞数
文章标签: http 服务器 前端
于 2022-01-24 00:19:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39989608/article/details/122659379
版权

Http协议是无状态的协议,客户端发起http请求,与服务器建立http连接,服务器响应,http连接断开,客户端再起发起请求,与服务器建立新的http连接。服务器无法在连接上跟踪会话。

Cookie

cookie作用流程

  1. 用户输入用户信息,点击登录,浏览器发出登录http请求
  2. 服务器校验用户身份后,响应http请求,在response中添加头部
    Set-Cookie: key=value[;expires=<time>][;path=<path>][;domain=<domain>][;<secure>]
  3. 浏览器保存response中Set-Cookie的内容到文本文件
  4. 当用户访问该网站其他接口时,浏览器会将之前保存的cookie写到请求中并发出该请求
  5. 服务器解析cookie,得到用户身份、客户端状态,可以在response中添加头部Set-Cookie修改状态,给予用户响应。

客户端的状态信息存储在客户端,服务器没有存储消耗。
浏览器对cookie的大小和数量进行了限制,无法用cookie存储大量数据。单个cookie的大小限制为4k,一般浏览器限制数量为20。
cookie具有不可跨域名性,访问google.com只会用来自google.com的cookie,访问baidu.com只会用来自baidu.com的cookie,这是通过浏览器来保证的。
使用cookie不安全,容易遭到csrf(跨域请求伪造)攻击。

CSRF跨域请求伪造
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF漏洞剖析
zmzsg100的专栏
12-04 851
CSRF的前世今生
【burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
最新发布
m0_61869253的博客
05-28 951
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 5983
防止token伪造、篡改、窃取的解决方案
token(令牌)的理解
芝识分享
04-10 1465
1 、若是单纯的浏览文档,不需要记录是谁发送了请求,在某一段时间里浏览了什么,每一次都是一个新的请求。 随着交互式WEB应用的兴起,像购物网站、需要登录的网站等,这就需要区分每个用户,因为HTTP协议是无状态的,无状态的意思就是服务器不保存与客户端交互的任何状态,也就是说,上一次请求对这次没有任何影响,每一次请求都是新的。一开始是使用sessioncookie机制,见文档“https://blog.csdn.net/weixin_42037528/article/details/115584069” 这样
Token
kuyuguoheqi的博客
08-17 1387
HTTP是无状态的协议。token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。· 数据存储大小不同:单个Cookie 保存的数据不能超过4K,一个站点最多保存20个CookieSession对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型,根据服务器大小来定。...
Laravel开发-cookie-csrf
08-27
在Laravel框架中,CookieCSRF(Cross-Site Request Forgery,跨站请求伪造)是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie服务器存储在用户浏览器上的小型数据文件,...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
- 存在跨站脚本攻击(XSS)和跨站请求伪造CSRF)的风险。 2.6 面临的挑战 当客户端禁用Cookie时,服务端无法获取Cookie,这时可以通过其他方式如URL参数或隐藏表单字段传递信息,但这增加了暴露用户信息的风险。 ...
前后端常见的几种鉴权方式(小结)
11-30
这种方式简单易用,但存在跨站请求伪造CSRF)的风险,且若Session数据存储在服务器端,会占用较大资源。 Token验证,特别是JWT(JSON Web Tokens),近年来变得流行。JWT是一种轻量级的身份验证机制,它包含三个...
sessionsession
04-05
- 跨站请求伪造CSRF):Session也需防范这种攻击,通常通过验证Token来确保请求来源的合法性。 - 会话超时:设置合理的Session超时时间,避免用户长时间无操作导致服务器资源浪费。 - 多服务器部署:在分布式...
cookie_hacker
08-24
cookiehacker google浏览器 cookie注入插件
关于session丢失问题
03-01
6. **安全措施**:有些安全设置,如反跨站请求伪造CSRF)的Token更新,可能会导致Session被清除。在设计系统时,需要考虑这些安全措施对Session的影响,并合理处理。 7. **多实例负载均衡**:在集群环境下,如果...
05-令牌窃取和伪造
wangluoanquan111的博客
07-30 472
在前几篇文章中给大家介绍了如何从零开始搭建一个属于自己的内网环境以及当我们进入到一个内网环境中,该怎么样判断当前机器所属的环境是工作组还是域?我们需要收集哪些信息?该通过什么方式进行信息收集?从本篇文章开始,我将开始为大家介绍域渗透的思路及方法,本篇文章主要是介绍令牌伪造在各个工具中的应用。**令牌(token)**是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。
Cookie跨域的问题解决方案
诚的博客
06-03 2664
比如说,我们请求<https://www.google.com/>时,浏览器会自动把google.com的Cookie带过去给google的服务器,而不会把<https://www.baidu.com/>的Cookie带过去给google的服务器。 这就意味着,由于域名不同,用户向系统A登录后,系统A返回给浏览器的Cookie,用户再请求系统B的时候不会将系统A的Cookie带过去。 针对Cookie存在跨域问题,有几种解决方案: 服务端将Cookie写到客户端后,客户端对Coo
同源、跨域、cookie\seesion\token学习笔记
不想当脚本小子的脚本小子
01-22 463
同源:如果两个页面的协议(如https和http),端口(如80和80)和域名都相同,则两个页面具有相同的源。——一种安全机制。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如防止CSRF 如果非同源,就会有三种行为受到限制: 1) Cookie、L
HTTP请求中tokencookie 区别
m0_38066007的博客
05-22 1350
cookie http 请求是无状态的,即每次请求之后都会断开链接。所以,每次请求时,都可以携带一段信息发送到服务端,以表明客户端的用户身份。 服务端也也可以通过 `set-cookie` 向客户端设置 cookie 内容。由于每次请求都携带 cookie ,所以 cookie 大小限制 4kb 以内。 默认有跨域限制:不可跨域共享、传递cookie 浏览器存储 cookie 是按照域名区分的,在浏览器无法通过 JS `document.cookie` 获取到其他域名cookiehttp
CSRF跨域请求伪造
Author_CHEN的博客
08-31 1419
CSRF跨域请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网站、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF跨域请求伪造 一、简介 二、举例 三、常用防御方式 1. session防御 2. 人工防御 3. 配置cookie的Same-Site 1. Strict 2. Lax 3. None 4. 服务端防御 四、拓展 一、简介 CSRF(Cross Site Request Fo
token跨域请求
04-21
当浏览器发送跨域请求时,服务器会验证请求头中的token,并根据token的有效性来决定是否允许请求。 为了实现跨域请求,需要在服务器端进行相应的配置。常见的解决方案包括: 1. CORS(跨域资源共享):通过在服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值