- 博客(141)
- 资源 (1)
- 问答 (1)
- 收藏
- 关注
RSS订阅转载 npx skills 完全指南
《npx skills 完全指南》摘要: npx skills是Vercel推出的AI技能管理工具,支持通过命令行安装、更新和管理AI助手技能。核心功能包括:1)从GitHub仓库添加技能包;2)支持全局/项目级安装;3)提供交互式CLI操作流程。主要命令包括:add安装技能、list查看已安装技能、update更新技能、remove卸载技能。推荐技能包包括Vercel官方技能包和Superpowers工作流技能包。该工具采用模块化设计,技能以GitHub仓库形式存储,支持批量或选择性安装,能显著提升AI助
2026-04-22 21:24:02
407
原创 网络通信安全与可靠传输:从加密到认证,从状态码到可靠传输
本文系统阐述了构建安全可靠网络通信的四大核心技术:HTTPS加密传输、JWT身份认证、HTTP状态码反馈和TCP可靠传输机制。HTTPS通过混合加密确保数据安全;JWT采用签名令牌实现无状态认证;HTTP状态码提供清晰的通信反馈;TCP则通过序列号、确认应答、流量控制等机制保证数据传输的可靠性。这些技术相互配合,共同构成了现代网络通信的"安全+可靠"基础架构,有效解决了明文传输、身份验证、数据完整性等关键问题,为各类Web应用提供了坚实的底层支撑。
2026-04-08 22:51:34
399
原创 MySQL B+树与复合索引完全指南:从底层原理到高性能优化
MySQL B+树与复合索引优化指南 本文深入解析MySQL B+树索引的工作原理与复合索引优化策略。B+树因其非叶子节点不存数据、叶子节点有序链表等特性,成为数据库索引的理想选择,能有效减少磁盘IO并提升范围查询性能。复合索引遵循最左前缀法则,按字段顺序排序存储,设计时应将等值查询和高区分度字段前置,范围查询靠后。文章详细分析了索引命中与失效场景,强调覆盖索引的优势,并指出索引并非越多越好,需权衡查询与写入性能。最后总结了索引失效的常见陷阱,如使用函数、隐式类型转换等。
2026-04-08 22:51:02
379
原创 Kafka高可用指南:解决消息丢失、乱序、积压
本文深入探讨了Kafka消息系统的三大核心问题及解决方案。针对消息丢失问题,提出生产者端(acks=all+幂等)、Broker端(多副本+最小同步副本)和消费者端(手动提交+幂等)的三道防线。对于消息顺序性,强调利用分区机制和消息键保证局部有序。针对消息积压,给出扩容分区、优化消费逻辑和排查Rebalance的三步应急方案。通过可靠性、顺序性和积压处理的"三驾马车"协同保障,可构建高可用的Kafka消息系统。
2026-04-08 22:50:42
409
原创 在前端 JavaScript 中如何读写 Cookie?
本文深入解析JavaScript操作Cookie的核心技术与安全实践。首先通过寄存柜比喻形象说明Cookie机制,对比其与其他浏览器存储的区别。重点讲解document.cookie的特殊行为:读取返回非HttpOnly Cookie,写入仅影响指定Cookie。提供健壮的读写删除封装方案,强调URL编码和属性匹配的重要性。针对常见问题给出排查表,包括路径匹配规则和跨域处理。最后提出安全最佳实践:敏感凭证必须HttpOnly,并介绍现代cookieStore API的异步操作优势。全文贯穿安全理念,指出前端
2026-04-08 22:48:41
398
原创 在集群环境下,Session 共享的常见方案有哪些?
方案一句话评价推荐指数粘滞会话简单但不靠谱,节点宕机会话全丢⭐⭐Session 复制节点越多越慢,广播风暴是硬伤⭐Redis 集中存储生产首选,兼顾性能与扩展性⭐⭐⭐⭐⭐无状态 Token终极方案,彻底消灭 Session 共享⭐⭐⭐⭐一句话总结:集群环境下,Redis 集中式存储是 Session 共享的最优解——它将状态外移,让应用服务器回归无状态,既保证了高可用,又支撑了弹性伸缩。如果追求极致云原生,可直接拥抱无状态 Token(JWT),彻底告别 Session 共享的烦恼。
2026-04-07 08:58:26
136
原创 在分布式系统中,如何实现 Session 共享?Cookie 能否跨域?
本文系统解析了分布式Session共享与Cookie跨域的解决方案。在分布式环境下,Session复制、粘滞Session和集中式存储(Redis)三种方案各有优劣,其中Redis集中存储是生产环境首选。针对前后端分离的跨域问题,需同时满足服务端CORS配置、客户端凭证设置、Cookie属性调整等条件。文章还指出浏览器安全策略对Cookie的限制,推荐转向无状态的JWT认证方案,通过双Token机制兼顾安全性与扩展性。最终提出演进路线:从本地Session到Redis共享,再到无状态Token,适应现代分布
2026-04-07 08:58:04
136
原创 在 Java Servlet 中如何设置和获取 Cookie?
本文介绍了Java Servlet中Cookie会话管理的核心技术与实践。主要内容包括:1)Cookie的工作原理类比酒店早餐券机制;2)javax.servlet.http.Cookie类的核心属性和创建方法;3)详细演示了Cookie的设置(包含URL编码、安全属性配置)和获取流程;4)解析Cookie的生命周期(MaxAge)和作用域控制(Path/Domain);5)安全加固方案(HttpOnly、Secure、SameSite);6)常见问题排查指南。文章强调生产环境必须启用安全属性,并提供了从创
2026-04-07 08:57:42
308
原创 在 API 网关层如何统一处理 Session 验证?
摘要: API网关作为微服务架构的统一入口,承担会话验证的核心职责,解决分散校验导致的效率与安全问题。本文通过类比大楼安检机制,阐释网关如何集中处理身份认证(Session或JWT模式),并通过Spring Cloud Gateway示例演示凭证提取、Redis/JWT校验及身份透传的完整流程。同时指出常见误区(如下游仍需授权校验)与安全防护策略(内网隔离、Header签名),强调网关作为“认证边界”需与下游服务协同构建信任链,兼顾性能与安全性,避免身份伪造风险。
2026-04-07 08:57:19
566
原创 移动端 APP 中,如何模拟 Web 端的 Session 机制?
摘要: 移动端会话管理与Web端存在显著差异,浏览器自动管理的Cookie机制在移动端需手动实现。本文对比了Token方案与手动Cookie方案的优劣,推荐采用Token方案实现跨端友好且安全的会话管理。通过拦截器实现无感凭证注入与刷新,结合双Token机制保障安全性。针对移动端特有的物理安全风险,建议使用硬件级加密存储而非明文存储方案,如Android的EncryptedSharedPreferences与Keystore。文章提供了iOS和Android平台的拦截器实现代码,并强调了原子性刷新和失败兜底
2026-04-07 08:56:59
294
原创 无状态认证(如 JWT)与有状态 Session 的适用场景分别是什么?
摘要: 在微服务认证方案中,有状态Session与无状态JWT各具优势。Session将会话数据存储在服务端(如Redis),通过Session ID识别用户,支持实时吊销和强安全控制,但依赖集中存储;JWT将用户信息编码到令牌中,服务端仅需验签,天然支持无状态扩展和跨域场景,但吊销困难且数据容量受限。选型时需权衡:Session适合强安全要求的内部系统,JWT更适配微服务、多端场景。混合方案(如短时JWT+Refresh Token)可结合两者优势。安全配置上,Session需加固Cookie,JWT应设
2026-04-07 08:56:40
335
原创 为什么有时设置了 Cookie 却没有生效?
排障步骤关键检查点Application 面板Domain、Path、Secure、SameSite 是否与请求匹配Network 响应头Set-Cookie是否存在、格式是否正确、值是否编码Console 告警浏览器直接输出的拒绝原因一句话总结:Cookie 不生效,本质上是被浏览器“入库审核”拦下了。从属性匹配、安全限制到格式编码,层层排查,再结合开发者工具精准定位,没有解不开的“玄学”。
2026-04-07 08:56:16
378
原创 为什么通常说 Session 比 Cookie 更安全?
本文深入对比了Cookie和Session两种Web身份凭证机制的安全性差异。Session通过将核心数据存储在服务端、仅向客户端发送Session ID的设计,实现了比Cookie更高的安全性。文章从存储位置、可见性、篡改难度等维度分析,指出Session能有效防御XSS攻击、数据篡改等风险。同时强调Session也需配合HttpOnly、Secure等属性,并防范会话固定攻击。最终提出构建多层防御体系的建议,包括存储隔离、传输加密、脚本隔离等措施。核心结论是:Session的安全优势源于"服务
2026-04-07 08:55:57
241
原创 为什么说 HTTP 是无状态的?Cookie 和 Session 如何解决无状态问题?
本文深入解析了HTTP协议的无状态特性及其解决方案——Cookie和Session机制。HTTP协议的无状态设计虽然简单高效,但无法满足现代Web应用对用户状态的记忆需求。文章通过咖啡馆的比喻,形象地说明了Cookie(客户端存储的"钥匙")和Session(服务端存储的"保险箱")如何协同工作,为Web应用提供状态管理。详细介绍了Cookie和Session的工作流程、关键属性、安全性措施,以及在分布式环境下的扩展方案。最后强调,理解Cookie和Session的配
2026-04-07 08:55:40
376
原创 微服务架构下,如何统一管理用户会话?
摘要:微服务会话管理方案对比 本文探讨了微服务架构下的三种会话管理方案: Redis集中存储:通过共享Redis集群存储Session,实现平滑迁移,适合传统应用改造。优点是对代码侵入小,缺点是引入Redis依赖。 JWT双Token:采用Access Token+Refresh Token机制,服务端无状态,适合移动端和跨域场景。优点是扩展性好,但实现较复杂且无法主动吊销Token。 网关透传:将认证逻辑下沉到网关层,业务服务完全无状态。优点是业务解耦彻底,但网关成为单点瓶颈。
2026-04-07 08:55:23
730
原创 使用 Redis 存储 Session 时,如何保证 Session 的高可用?
Redis Session高可用架构演进与实战指南 本文系统介绍了Redis分布式Session的高可用解决方案。首先通过门禁系统单点故障案例,揭示单节点Redis存储Session的风险。随后对比主从+哨兵、Redis Cluster和云托管三大高可用方案的优缺点,提出选型建议。 重点解析哨兵模式的核心原理,包括故障转移流程、奇数节点必要性及数据丢失防护机制。通过min-slaves-to-write等配置参数,可有效防止异步复制和脑裂导致的数据丢失。 最后给出Spring Boot集成哨兵模式的详细配置
2026-04-02 09:19:59
148
原创 什么是第三方 Cookie?它有什么用途和风险?
Cookie 是服务器发送给浏览器并保存在本地的一小段文本数据,用于维持会话状态或记录用户偏好。浏览器在后续请求中自动携带,服务器据此识别用户。要点结论第三方 Cookie 的本质当前页面嵌入的其他域名设置的 Cookie,用于跨站追踪、广告投放、社交登录等核心风险严重侵犯用户隐私(隐形跨站监视)、增加 CSRF/XSS 攻击面浏览器策略Safari/Firefox 已默认阻止;Chrome 原计划弃用但已调整,实际全面淘汰搁置替代方案状态分区、CHIPS、联邦身份(OIDC)、第一方数据架构开发者应对。
2026-04-02 09:19:38
48
原创 什么是 XSS 攻击?Cookie 如何被 XSS 窃取?如何防护?
摘要: XSS攻击通过注入恶意脚本窃取用户Cookie,冒充用户身份。防御需构建多层体系: HttpOnly:阻止JS读取Cookie,但无法防御脚本直接发起请求; 输入过滤+输出转义:针对HTML/JS/CSS等上下文转义特殊字符; CSP策略:限制脚本来源,阻断非法执行; SameSite/CSRF Token:补充防护,防止会话滥用。 常见误区包括仅依赖HttpOnly、忽视后端转义及低估XSS注入多样性。防御核心是零信任原则,通过纵深防护让攻击链失效。(150字)
2026-04-02 09:18:57
147
原创 如何统计在线用户数(基于 Session)?需要注意什么?
摘要: 本文探讨了从单机到分布式环境下统计在线用户数的实践方案。单机方案基于HttpSessionListener和AtomicInteger实现简单高效的计数,但无法扩展至集群环境。分布式方案通过Redis的原子操作实现全局共享计数,解决了多节点数据一致性问题,同时需注意Session过期事件的处理(如Redis键过期通知和定时扫描兜底)。生产环境中需规避“计数虚高”和“游客误统计”等问题,建议结合业务需求明确在线用户的定义,并通过双重机制保障数据准确性。
2026-04-02 09:18:30
161
原创 如何通过抓包工具(如 Wireshark、Fiddler)分析 Cookie 和 Session 的传输?
摘要: 本文通过海关安检的比喻,介绍了如何使用Fiddler和Wireshark抓包工具透视Web会话中的Cookie与Session流转过程。Fiddler作为HTTP代理可直观查看Cookie传输和安全属性(HttpOnly/Secure/SameSite),而Wireshark擅长底层协议分析但操作复杂。实战部分演示了如何捕获登录流程、分析Session下发机制,并验证安全配置。重点指出抓包工具只能获取Session ID而无法查看服务端存储的具体会话数据,同时提供了加固会话安全的实践建议(如验证安全
2026-04-02 09:18:08
358
原创 如何手动让 Session 失效(如用户登出)?
Java Web 中手动销毁 Session 的完整指南 摘要 本文深入探讨了 Java Web 应用中如何正确销毁 Session。关键点包括: Session 生命周期:Session 存储在服务端,客户端仅保存 Session ID。仅关闭浏览器不会销毁服务端 Session。 核心方法:必须调用 session.invalidate() 才能真正销毁服务端 Session,这是唯一的正确方法。 完整流程:完整的登出需要: 服务端销毁 Session(invalidate()) 客户端清除 Sessi
2026-04-02 09:17:50
313
原创 如何实现单点登录(SSO)?Session 在 SSO 中扮演什么角色?
单点登录(SSO)中的Session机制是实现"一次登录,多点通行"的核心技术。本文通过企业门禁卡的类比,深入解析了SSO中两种Session的协作机制:认证中心的全局Session记录用户登录状态,各业务系统的局部Session维持用户会话。文章详细阐述了SSO工作流程,对比了Cookie+Session、JWT、CAS等主流实现方案,并强调了"用介绍信换通行证"的安全设计原则。同时指出了单点登出实现、安全加固措施以及常见技术误区,为构建安全可靠的SSO系统提供了实
2026-04-02 09:17:34
304
原创 如何设置 Cookie 的过期时间?Max-Age 和 Expires 有什么区别?
摘要: Cookie过期时间设置有两种方式:Max-Age(相对秒数)和Expires(绝对时间)。Max-Age优先级更高且更可靠,推荐用于现代开发;Expires仅需兼容旧系统时使用。关键注意事项: 删除Cookie需设置Max-Age=0或Expires为过去时间; 格式必须规范(如GMT时间); 修改过期时间需保持Path/Domain一致。 优先选择Max-Age,结合HttpOnly、Secure等属性提升安全性。会话级Cookie不设过期时间,关闭浏览器即失效。
2026-04-02 09:17:16
475
原创 如何删除一个 Cookie?
摘要: Cookie删除机制的核心是通过覆盖同名同作用域的Cookie并设置过期来实现,而非直接删除。服务端需设置Max-Age=0并严格匹配原Cookie的Path和Domain;客户端JS只能删除非HttpOnly的Cookie。常见失败原因包括作用域不匹配、HttpOnly限制及误用setMaxAge(-1)。安全操作需同步清理服务端Session。理解Cookie删除是"覆盖过期版本"而非直接删除,可避免大多数问题。
2026-04-02 09:16:59
394
原创 如何解决 Cookie 跨域问题?
本文深入解析了Cookie跨域的限制原理及解决方案。文章通过"护照"类比形象说明Cookie默认不能跨域的原因——浏览器的同源策略安全机制。要实现跨域认证,必须同时满足三个条件:1)服务端CORS配置允许凭证并指定具体源;2)前端请求设置credentials参数;3)Cookie设置SameSite=None和Secure属性。文中提供了前后端完整配置示例,对比分析了成功/失败场景,并指出常见误区。最后建议对于复杂跨域场景可考虑改用Token方案。全文以清晰的逻辑和实用示例,帮助开发者
2026-04-02 09:16:39
395
原创 如何防止同一账号多地同时登录(限制并发 Session)?
本文全面解析限制同一账号多地同时登录的技术方案。首先分析HTTP无状态特性及并发登录风险,随后提出三种核心方案:1)Session+Redis映射方案,通过维护用户ID与最新SessionID的映射实现强制踢出;2)Token版本号方案,利用数据库版本号校验实现无状态JWT的并发控制;3)登录记录+最大并发数方案,支持多设备管理。文章对比了各方案优缺点,指出Session方案适合传统架构,Token方案适配微服务,并发数方案灵活性最高。最后强调分布式环境下需使用集中存储、注意并发竞态处理等关键实现要点,并澄
2026-04-01 17:52:40
53
原创 什么是 Session 粘滞(Sticky Session)?有什么优缺点?
Session粘滞(Sticky Session)是解决分布式系统中会话丢失问题的负载均衡策略,通过将同一用户的请求始终路由到同一台服务器来复用Session。主要实现方案包括基于Cookie(推荐)和基于IP哈希(简单但有缺陷)。相比Session复制和Redis集中存储,Session粘滞性能最优但扩展性差,且无法解决服务器宕机时的会话丢失问题。生产建议:小型集群使用粘滞(基于Cookie),大规模集群采用Redis;需注意负载均衡器超时时间要大于Session超时,并处理好节点增减时的会话迁移问题。S
2026-04-01 17:29:33
160
原创 什么是 Session 劫持(Session Hijacking)?如何防范?
Session劫持:Web时代的身份盗窃与防御革命 Session劫持通过窃取用户会话凭证(如Cookie)实现身份冒充,其攻击方式包括网络嗅探、XSS攻击和恶意软件窃取等。防御需采取分层策略:基础层通过HttpOnly/Secure/SameSite加固Cookie安全;核心防护采用会话刷新、设备指纹绑定和DBSC硬件级防护;前沿方案结合FIDO通行密钥消除密码依赖,配合行为分析检测异常访问。随着W3C推进设备绑定凭证标准,未来防御将更聚焦硬件级身份验证,构建从登录到会话的全生命周期零信任防护体系。企业需
2026-04-01 17:29:12
133
原创 什么是 Session 固定攻击(Session Fixation)?如何防御?
本文深入解析Web会话机制与Session固定攻击防御。从HTTP无状态特性出发,介绍Cookie和Session的基础原理,揭示正常登录流程中Session ID的关键作用。重点剖析Session固定攻击的核心机制:攻击者诱导用户使用预设Session ID登录,从而劫持会话。文章提出防御核心在于登录后销毁旧Session并生成新ID,辅以禁用URL重写、设置安全属性等措施,并澄清常见误区(如HttpOnly无法防御此类攻击)。通过对比Session固定与会话劫持的区别,强调登录重置ID是根治方法,最后给
2026-04-01 17:28:50
144
原创 什么是 Session 复制(Session Replication)?适用于什么场景?
摘要: Session复制技术通过广播同步实现集群节点间的会话数据共享,解决负载均衡下的会话丢失问题。其核心原理是序列化Session数据并通过组播/单播同步到所有节点,但存在广播风暴、内存浪费、扩展性差等缺陷,通常限制在8节点以内。常见问题包括序列化失败、组播不通、网络拥塞等。相比之下,Redis集中式存储更适用于生产环境,具有低网络开销、高扩展性等优势。选型建议:小规模集群可考虑Session复制,生产环境优先选择Redis集中式方案,以实现真正的无状态扩展。 (字数:150)
2026-04-01 17:28:34
289
原创 什么是 CSRF 攻击?Cookie 在 CSRF 中扮演什么角色?如何防御?
摘要: CSRF(跨站请求伪造)攻击利用浏览器自动携带Cookie的特性,诱导用户访问恶意网站时向目标站点发起伪造请求(如转账、改密码)。防御核心在于阻止跨站请求滥用Cookie: SameSite Cookie(推荐Lax模式)限制跨站请求自动携带Cookie; CSRF Token要求敏感请求必须携带服务端下发的随机Token; 双重验证(如二次认证)提升安全性。最佳实践为SameSite=Lax+CSRF Token组合,兼顾防御与用户体验。需注意CSRF与XSS的区别,且HttpOnly无法防御CS
2026-04-01 17:28:15
471
原创 什么是 Cookie?什么是 Session?它们的作用分别是什么?
Cookie与Session:Web状态管理的核心机制 HTTP协议本身无状态,而现代Web应用需要跟踪用户会话。Cookie作为客户端存储机制(4KB限制),通过键值对保存用户标识等非敏感数据;Session则存储在服务端(内存/Redis),通过唯一ID关联客户端,适合存储敏感信息。两者常配合使用:Cookie保存Session ID,服务端通过该ID定位用户数据。关键区别在于存储位置(客户端/服务端)、安全性(Session更高)和容量限制。分布式系统中需解决Session共享问题,主流方案是Redi
2026-04-01 17:28:01
358
原创 如何防止 Cookie 被窃取或篡改?
本文系统分析了Cookie面临的两大安全威胁——窃取与篡改,并提出了三层防御体系。浏览器层通过HttpOnly、Secure、SameSite属性防止XSS窃取和中间人攻击;传输层采用HTTPS加密通信;服务端通过Session管理、签名验证和指纹校验确保数据完整性。文章强调纵深防御理念,指出单一措施无法全面防护,必须结合技术手段和管理策略。最后给出实战建议,包括最小安全配置方案和异常监控方法,帮助开发者构建可靠的会话安全防线。
2026-04-01 17:27:41
473
原创 如何查看浏览器中当前存储的 Cookie?
摘要: 本文详解浏览器Cookie的查看方法及隐藏机制。通过快递单号比喻解释Cookie属性(如HttpOnly),分析为何部分Cookie无法通过document.cookie读取。推荐三种查看方式: 开发者工具(全面显示所有Cookie,含HttpOnly) JavaScript控制台(仅显示非HttpOnly Cookie) 浏览器设置面板(批量管理) 指出常见误区,强调HttpOnly Cookie的安全作用,并提供调试建议。核心结论:HttpOnly Cookie如"隐私快递单"
2026-04-01 17:27:26
651
原创 如何保证 Session ID 的随机性和不可猜测性?
本文深入探讨了Session ID的安全性问题及其防御措施。Session ID作为Web应用的身份凭证,若生成规则可预测(如递增数字、时间戳等),攻击者可通过枚举或会话固定攻击轻易窃取用户会话。文章剖析了会话劫持和会话固定的攻击流程,强调必须使用密码学安全的伪随机数生成器(CSPRNG)生成足够长度(≥128位)的Session ID,并配合HttpOnly、Secure Cookie等传输保护措施。最佳实践包括登录后重新生成Session ID、依赖服务器默认的安全实现,以及设置合理过期时间。通过确保S
2026-04-01 17:27:11
350
原创 如果浏览器禁用了 Cookie,Session 还能正常工作吗?为什么?如何解决?
摘要: 当浏览器禁用Cookie后,Session会"失灵"是因为丢失了传递Session ID的默认载体。Session依赖Cookie自动携带Session ID以维持用户状态,禁用Cookie后服务端无法识别用户。传统替代方案如URL重写(将Session ID附加在URL中)存在严重安全隐患,现代Web开发已转向更安全的无状态Token方案(如JWT)。Token通过请求头传递,不依赖Cookie,支持跨域和多端统一,配合短过期、HTTPS等安全措施,成为禁用Cookie场景下的
2026-03-31 15:22:13
470
原创 前后端分离项目中,推荐使用 Cookie 还是 Token 来维持登录状态?为什么?
本文对比了前后端分离架构下Token与Cookie/Session两种登录状态维持方案。传统Cookie+Session存在跨域困难、扩展性差等痛点,而Token机制(如JWT)具有无状态、跨域友好、多端适配等优势。文章详细解析了Token的工作原理,提出安全实践建议:短期Access Token配合长期Refresh Token存储于HttpOnly Cookie。最后指出Token并非绝对安全,需要合理存储和配置,在前后端分离、微服务等场景下Token是更优选择,但需根据具体需求权衡安全性与便利性。
2026-03-31 15:11:59
143
原创 浏览器隐私模式(无痕模式)下,Cookie 和 Session 的表现有何不同?
摘要: 隐私模式下,浏览器的临时存储机制导致Cookie仅保存在内存中且窗口隔离,关闭窗口后Cookie自动销毁,而服务端Session仍存在但无法关联,造成用户频繁重新登录。开发应对策略包括:优化Session超时、提示用户隐私模式特性、避免依赖持久化存储,并合理清理服务端“孤儿Session”。理解隐私模式的临时性和隔离性,才能避免登录态失效问题,提升用户体验。(149字)
2026-03-31 15:09:32
177
原创 跨域请求时,如何让浏览器自动携带 Cookie?需要满足哪些条件?
跨域请求携带Cookie需要满足三个关键条件:1) 服务端设置Access-Control-Allow-Credentials:true并指定具体源;2) 前端请求配置credentials:'include';3) Cookie属性需包含SameSite=None; Secure。本文详细解析了跨域携带Cookie的机制,对比了同域与跨域的区别,提供了前后端配置示例,并强调了安全实践。核心结论是跨域携带Cookie需要前端、服务端和Cookie三方的显式协商,在实现功能的同时必须确保安全性。
2026-03-31 15:08:49
188
原创 将敏感信息直接存储在 Cookie 中有什么风险?应该怎么做?
摘要: Cookie 是 Web 开发中常用的会话管理工具,但直接存储敏感信息(如密码、身份凭证)会带来严重安全风险。本文分析了 Cookie 的天然缺陷,包括易被 XSS 攻击窃取、中间人拦截和客户端篡改,并对比了三种安全存储方案:服务端 Session、加密签名 Cookie 和 Token(JWT)。核心实践包括:仅存标识符而非数据、强制 HttpOnly/Secure/SameSite 属性、全站 HTTPS 及定期轮换凭证。最后强调,敏感数据必须存于服务端,Cookie 仅作“钥匙”而非“保险箱”
2026-03-31 15:08:27
333
《高等工程数学I复习笔记》
2023-12-18
TA创建的收藏夹 TA关注的收藏夹
TA关注的人