cookie 和 token 都存放在 header 中,为什么不会劫持 token?____token和cookie的区别

最新推荐文章于 2023-07-13 15:23:00 发布
最新推荐文章于 2023-07-13 15:23:00 发布
阅读量5.1k 收藏 17
点赞数 2
分类专栏: Java细节 文章标签: 服务器 javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43842093/article/details/121888385
版权

cookie 和 token 都存放在 header 中,为什么不会劫持 token?

cookie:登录后服务端生成的sessionid,并在http请求里返回到客户端,同时服务端保存sessionid,以后客户端的每次http请求都带上cookie(sessionid),服务端会获取cookie(sessionid)然后验证用户的身份。所以拿到cookie就拿到了sessionid,就可验证通过。同时浏览器会自动携带cookie;

token:同样是登录后服务端返回一个token,客户端保存起来,在以后http请求里手动的加入到请求头里,服务端根据token 进行身份的校验。浏览器不会自动携带token。

CSRF 跨站点请求伪造:通过浏览器会自动携带同域cookie的特点。cookie的传递流程是用户在访问站点时,服务器端生成cookie,发送给浏览器端储存,当下次再访问时浏览器会将该网站的cookie发回给服务器端

如果用户登陆了A网站,拿到了cookie,又点击了恶意的网站B。

B收到请求以后,返回一段攻击代码,并且发出一个请求给网站A。

浏览器会在用户不知情的情况下,根据B的请求,带着cookie访问A。

由于HTTP是无状态的,A网站不知道这个请求其实是恶意网站B发出的,就会根据cookie来处理请求,从而执行了攻击代码。

而浏览器不会自动携带 token,所以不会劫持 token。

XSS:跨站脚本工攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者JavaScript进行的一种攻击

cookie和token都是不安全的

token和cookie的区别

HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证

1、cookie

用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID

数据需要客户端和服务器同时存储

用户再进行请求操作时,需要带上cookie,在服务器进行验证

cookie是有状态的

2、token

用户进行任何操作时,都需要带上一个token

token的存在形式有很多种,header/requestbody/url 都可以

这个token只需要存在客户端,服务器在收到数据后,进行解析

token是无状态的

token相对cookie的优势

1、支持跨域访问 ,将token置于请求头中,而cookie是不支持跨域访问的;

2、无状态化, 服务端无需存储token ,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session;

3、 无需绑定到一个特殊的身份验证 方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可;

4、 更适用于移动端 (Android,iOS,小程序等等),像这种原生平台不支持cookie,比如说微信小程序,每一次请求都是一次会话,当然我们可以每次去手动为他添加cookie,详情请查看博主另一篇博客;

5、 避免CSRF跨站伪造攻击 ,还是因为不依赖cookie;

6、 非常适用于RESTful API ,这样可以轻易与各种后端(java,.net,python…)相结合,去耦合

Archie_java
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
微信小程序获取access_token
03-29
起因是想在微信小程序获取access_token。  (此图片来源于网络,如有侵权,请联系删除! )  之前资源只有一个阿里云虚拟主机和一个域名,于是用C#后端写了GET请求的接口,准备调用自己域名下的接口获取access_...
基于acess_token和refresh_token实现token续签
03-19
在现代Web应用,安全身份验证和授权是至关重要的。基于令牌(Token)的身份验证机制,特别是JSON Web Token(JWT),已经成为一种流行的选择。在这个场景下,“基于acess_token和refresh_token实现token续签”是一...
token放在cookie放在请求头区别
NoBugsBoy的博客
07-30 3441
token放在cookie放在请求 头区别 cookie: 防止xss攻击,但是导致所有请求都会携带token 请求头: 会有xss风险,而且前端需要保存token并在每次请求的时候携带…好处是可以控制哪些请求携带,哪些不需要携带 ...
tokencookie区别
标准都是留给不爱的人,爱的本质是自由意志的沉沦
07-13 1456
总而言之,TokenCookie 在身份验证和授权方面都有其特定的用途和优势。选择使用哪种机制取决于具体的应用场景和安全需求。
对黑羊、Elrs等使用的crsf协议的简单解析
m0_63043961的博客
12-16 1万+
对黑羊、Elrs等使用的crsf协议的简单解析
Token,Cookie和Session三者的区别
winkexin的博客
05-12 4356
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookie,session的区别还是一知半解。
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4068
cookies,session,token都是相对安全,并不能完全防窃取
安全的cookietoken机制
kekefen01的博客
12-16 1380
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
微信服务器(一个获取微信 access_token 和 ticket 的服务).zip
最新发布
02-27
微信服务器(一个获取微信 access_token 和 ticket 的服务).zip wechat-token-proxy 是一个获取微信 access_token 和 ticket 的服务。它能使调用微信公众号各接口的各个业务逻辑点共享 access_token 和 ticket ...
token_ring.zip_in_ring_token_token ring_token ring in java
09-19
**Token Ring 网络协议详解** ...在Java模拟Token Ring涉及对网络拓扑、数据帧结构、令牌管理和错误处理的理解,是一个综合性的编程挑战。通过这样的实践,我们可以深入学习网络协议以及多线程编程。
Token_Ring.rar_token ring
09-23
Token Ring网络是局域网(LAN)的一种早期架构,它在20世纪80年代和90年代广泛应用于企业环境。这个技术由IBM在以太网出现之前开发,主要目的是提供一个更为可靠和有序的数据传输方式。在Token Ring网络,数据的...
前端安全】cookietoken存放header,为什么不会劫持token
热门推荐
'Ablaze 的专栏
08-05 1万+
token不是为了防止XSS的,而是为了防止CSRF的; CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token; 以CSRF攻击为例: cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作; token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作; ...
Session,CookieHeaders,Token,公参都是些啥
lk的博客
11-05 1443
背景知识:首先,互联网应用大多使用http协议,而HTTP是无状态(stateless)协议。什么是无状态:就是每一次通信都不会保留本次回话的信息,常说鱼的记忆只有七秒,http的记忆是0秒。但是大多数应用都是需要保留每次的会话信息的,所以就有了cookie和session。他们是用来保持HTTP连接状态的技术。
CookieHeader
zcx的博客
11-13 1255
CookieHeader
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4756
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CRSF攻击原理解析
海宇的博客
04-16 892
CRSF全称 Cross Site Request Forgery,跨站请求伪造。通俗理解:攻击者盗用当前用户身份,发请当前用户的恶意请求:如邮件,银行转账等。 [size=large][b]CRSF原理[/b][/size] [img]http://dl.iteye.com/upload/attachment/0083/2540/56522834-5e30-3599-8911-4be...
cookietoken区别
Harley567
09-16 197
cookietoken区别
软件安全测试-Web安全测试详解-CSRF攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-11 1063
CSRF(Cross-Site Request Forgery),跟XSS漏洞攻击一样,存在巨大的危害性。 你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8644
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
在vue2cookietoken 都存在headel,为什么不会劫持token呢?
05-30
我之前说的并不完全准确,如果将token直接存储在header,是存在被劫持的风险的。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 为了避免这种情况的发生,通常会对token进行加密或者使用JWT等安全协议进行安全传输。在前端代码,我们可以通过设置httpOnly属性来防止恶意脚本获取cookie。在后端代码,我们需要对token进行严格的验证和过期时间的限制,以确保token的安全性。 总之,cookietoken的安全性是非常重要的,我们需要在多个层面上进行安全防范,确保用户信息的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Archie_java

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值