cookie、xss攻击、WebStorage

最新推荐文章于 2024-01-23 01:16:54 发布
最新推荐文章于 2024-01-23 01:16:54 发布
阅读量190 收藏
点赞数
分类专栏: cookie webStorage 文章标签: cookie javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tx_blogs/article/details/107849642
版权

cookie

  1. cookie的定义

    • cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据
    • cookie就是页面用来保存信息,比如自动登录,用户名

  2. cookie作用

    • cookie的主要作用是保存信息,并与服务器互动,因此在很多情况下都可以使用到cookie。
    • 密码 cookie:访当问者首次访问页面时,也许会填写密码。密码也可被存储于 cookie 中。当他们再次访问网站时,密码就会从 cookie 中取回

  3. cookie的特性

    • cookie必须运行在服务器的环境下(开启服务器
    • cookie的容量: 5kb
    • cookie存储的数据类型: 字符串
    • cookie 的作用域为当前域,有文件夹路径的区分,以域中的文件夹存储,不能跨域访问。存储的位置都是以这个域作为存储空间的,别的域不能访问
    • 一个域名下存放的cookie的个数是有限制的,不同浏览器存放的个数不一样,cookie能存储的条目数为:50条
    • Cookie默认是临时存储的,当浏览器关闭时,自动销毁
    • 如果想长时间存放一个cookie,同时需要设置一个过期时间
    • cookie的使用方面
      • 刷新页面时可以使用
      • 跳转到当前域所在另外页面时可以获取前面cookie存储的数据内容

  4. cookie的缺点

    • cookie可能被用户禁用,可能被删除,安全性不够高,保存用户名密码等信息时,最好事先经过加密处理。cookie是与浏览器相关的, 不同浏览器之间所保存的cookie也是不能互相访问的

  5. 创建cookie

    • 存储cookie数据

      • document.cookie="name=lisi";
document.cookie="name=zhangsan";
//同一属性只能设置一次,否则会被覆盖

    • 获取cookie数据

      • console.log(document.cookie);

  6. cookie的生存周期

    • 生存期也就是cookie的终止日期,在这个终止日期到达之前,浏览器都可以读取该cookie。一旦终止日期到达之后,该cookie将会从cookie文件中删除。

    • //设置生存时间
var date=new Date();
date.setMinutes(6);
document.cookie="name=zhangsan;expires="+date.toUTCString();

    • //删除过期失效的cookie

  7. 一些零碎知识

    • 两种存储方式:存储到本地(获取计算机权限)存储到服务器
    • 中间部分:浏览器,任何页面不允许到本地存储
    • md5进行加密,是不可逆的
    • md5进行在线解密

    XSS攻击

    • 跨站脚本攻击
    • xss是一种在web应用中的计算机安全漏洞,他允许恶意web用户将代码植入到提供给其他用户使用的页面中
    • 能被XSS攻击需要以下两点:
      • 需要向web页面注入恶意代码
      • 这些恶意代码能够被浏览器成功的执行

    WebStorage

    1. 解释

      • HTML5 的 Web Storage 可以让 Web 页面在客户端浏览器中以键值对的形式在本地存储数据。这些数据可以是临时的(浏览器一关就自动删除),或者是长期存在的(无论多少天之后打开网站,仍然可以访问这些数据)。。

    2. 分类

      • localStorage: 本地存储,用于持久化的本地存储,除非主动删除数据,否则数据是永远不会过期的
      • sessionStorage: 会话存储,用于本地存储一个会话中的数据,这些数据当在关闭浏览器后数据也随着销毁

    3. webstorage的操作

      • //存储localStorage中name属性和值
localStorage.name="zhangsan";

//获取localStorage的数据
console.log(localStorage.name);

//和localStorage.name="zhangsan";一样
localStorage.setItem("name","zhangsan");

//和localStorage.name一样
localStorage.getItem("name")

localStorage.removeItem("name");//删除某个数据
localStorage.clear();//清除所有数据

// 只能存储字符串,所以往localStorage中存储时只能先转化为json字符串
var arr=[1,2,3];
localStorage.arr=JSON.stringify(arr);
var arr=JSON.parse(localStorage.arr);
console.log(arr);

    4. localStorage/session/cookie的区别

      • cookie在浏览器和服务器间来回传递。而sessionStorage和localStorage不会自动把数据发给服务器,仅在本地保存。

      • 存储大小限制不同。cookie数据不能超过4k,而sessionStorage和localStorage可以达到5M或更大

      • 数据有效期不同。sessionStorage:仅在当前浏览器窗口关闭前有效;localStorage:始终有效,窗口或浏览器关闭也一直保存,因此用作持久数据;cookie只在设置的cookie过期时间之前一直有效,即使窗口或浏览器关闭。

      • 作用域不同。sessionStorage不在不同的浏览器窗口中共享,即使是同一个页面;localStorage 在所有同源窗口中都是共享的;cookie也是在所有同源窗口中都是共享的。

      • Web Storage 的 api 接口使用更方便

      • Web Storage 支持事件通知机制,可以将数据更新的通知发送给监听者。

      cookie的封装

      static getCookie(){
    return document.cookie.split(/;\s*/).reduce((value,item)=>{
        var arr=item.split("="); 
        value[arr[0]]=isNaN(arr[1])?arr[1]:Number(arr[1]);
        return value;
    },{})
}

static getCookieValue(key){
    return Utils.getCookie()[key];
}


static setCookie(key,value,date){
    if(!date){
        document.cookie=`${key}=${value}`;
        return;
    }   document.cookie=`${key}=${value};expires=${date.toUTCString()}`;
}

static setCookies(obj,date){
    for(var key in obj){
        Utils.setCookie(key,obj[key],date);
    }
}

//删除一个数据的cookie数据
static removeCookie(key){
    Utils.setCookie(key,"",new Date());
}
//删除所有的cookie数据
static clearCookie(){
    for(var key in Utils.getCookie()){
        Utils.removeCookie(key);
    }
}
颜镜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4142
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie: httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
如何安全储存JWT之CookieWeb Storage
Innocence_0的博客
02-19 589
如何安全储存JWT之CookieWeb Storage
存储型XSS简介
热门推荐
seek_2022的博客
05-05 1万+
文章目录一、存储型XSS简介(一)存储型XSS的概念(二)存储型XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储型XSS简介 (一)存储型XSS的概念 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
【网络安全】XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 7099
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
XSS攻击——cookie
qq_46277212的博客
06-23 1887
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
JavaScript学习教程之cookiewebstorage
10-16
JavaScript中的CookieWeb Storage是两种常见的数据存储机制,它们用于在客户端和服务器之间持久化数据,以解决HTTP无...在实际开发中,还需要考虑数据的安全性,如使用httpOnly防止XSS攻击,以及对用户隐私的保护。
HTML5 WebStorage(HTML5本地存储技术)
10-26
- **数据大小**:WebStorage的存储空间远大于cookie,通常可达到5MB或更高,更适合存储大量数据。 - **安全性**:数据不会随HTTP请求发送,减少了潜在的安全风险,如跨站脚本攻击(XSS)。 - **网络效率**:由于不随...
web_cookie
02-08
5. **安全与隐私**:Cookie可以被恶意利用,例如跨站脚本攻击(XSS)可以窃取Cookie中的敏感信息。因此,开发者应设置Secure标志,确保Cookie只通过HTTPS传输,并使用HttpOnly标志防止JavaScript访问,减少被篡改的...
kinda-web-storage
05-17
随着JavaScript技术的不断发展,我们不再依赖传统的Cookie来保存用户数据,而是有了更高效、更灵活的Web存储解决方案——这便是"kinda-web-storage"项目所涉及的核心内容。本文将深入探讨JavaScript中的Web存储机制...
JavaScript cookie原理及使用实例
11-21
然而,随着技术的发展,Web Storage(localStorage和sessionStorage)以及IndexedDB等现代存储解决方案提供了更大容量和更安全的数据存储选项,可以作为Cookie的补充或替代。在实际应用中,应综合考虑安全性、存储...
XSS攻击(1), 测试XSS漏洞, 获取cookie
探测???
10-18 1578
XSS(Cross-Site Scripting), 跨站攻击脚本, XSS漏洞发生在前端, 依赖于浏览器的解析引擎, 让前端执行攻击代码. XSS其实也算注入类的攻击, XSS代码注入需要有JavaScript编程基础.XSS的原理就是开发者没有对输入内容进行过滤, 导致通过攻击者精心构造的前端代码, 输入后和原来的前端代码产生混淆, 形成新的页面语句, 并且新的页面代码能够被浏览器解析并输出.:如果受害者具有某些特权,例如网站管理员,攻击者可能会利用XSS漏洞,使用受害者的权限对网站进行未授权的修改。
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1671
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
网络安全学习笔记——盗取Cookies跨站脚本(XSS)
just do it
07-24 1373
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
基于localStorage的本地存储XSS
9ian1i
02-16 4850
0x00 什么是localStorageHTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP。0x01 什么是基于localStorage的XSS现在越
2021-07-01-web安全之XSS攻击Cookie知识详解(一)
公子&小白的博客
07-01 731
文章目录XSS攻击XSS攻击原理XSS攻击类型反射型XSS存储型XSSDOM XSS手动检测XSS全自动检测XSSXSS高级利用XSS会话劫持Cookie理解Cookie内容详解 XSS攻击 XSS又叫CSS,即跨站脚本攻击—攻击者通过浏览器在网页中嵌入客户端脚本,通常是js恶意代码,当用户使用浏览器时,脚本就会在浏览器上执行 XSS是客户端攻击,受害者最终是用户,但是管理员也是用户,管理员权限很大,受到攻击影响很严重 XSS攻击原理 XSS攻击原理:引诱用户去点击其脚本,通过运行其脚本获取Cooki
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
--=
05-11 982
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
xss漏洞之cookie和session详解
最新发布
2301_80361487的博客
01-23 475
当我们使用自己的电脑,通过浏览器进行访问网页的时候,服务器就会生成一个证书然后返回给浏览器并写入我们的本地电脑,这个证书就是cookie。了时效,也就是 Expire 字段,而且会存储于本地,当 Expire所制定的时效过期后,Cookie 将失效。访问同域下的页面时,无论是 Session Cookie 还是本地 CookieCookie 将会一起被发送。而 Session Cookie 则没有制定 Expire 时效,是存储在浏览器内存中的,当浏览器关闭后,它可以帮助我们实现记录用户个人信息的功能。
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3863
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7093
【XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
cookiexss攻击
09-27
JavaScript Cookie 是一种用于在客户端存储数据的小型文本文件。它通常用于跟踪用户的会话信息、存储用户首选项以及实现其他网站功能。可以通过使用 JavaScript 的 `document.cookie` 对象来操作和管理 cookie。下面是一些常用的操作方法: 1. 设置 cookie: ```javascript document.cookie = "cookieName=cookieValue; expires=expirationDate; path=/"; ``` - `cookieName` 是 cookie 的名称。 - `cookieValue` 是 cookie 的值。 - `expires` 是 cookie 的过期日期,可以设置为特定的日期时间字符串或具体的日期对象。 - `path` 是 cookie 的作用路径。如果不指定,默认为当前页面的路径。 2. 读取 cookie: ```javascript var cookieValue = document.cookie; ``` 可以通过解析 `document.cookie` 字符串来获取特定 cookie 的值。 3. 删除 cookie: ```javascript document.cookie = "cookieName=; expires=expirationDate; path=/"; ``` 通过将过期日期设置为一个过去的日期来删除 cookie。 需要注意的是,cookie 存储在客户端,因此它们可能会受到一些安全问题的影响,比如 XSS(跨站脚本攻击)。 XSS 攻击是指攻击者通过注入恶意脚本代码来执行恶意操作。在 JavaScript 中,XSS 攻击可能会利用 cookie 来窃取用户的敏感信息或在用户身份验证方面进行欺骗。 为了防止 XSS 攻击,可以采取以下措施: 1. 对用户输入进行正确的验证和过滤,以防止执行恶意脚本代码。 2. 在向页面插入动态内容时,使用合适的编码方法,如将用户提供的数据作为文本内容而不是 HTML 解析。 3. 在设置 cookie 时,使用 HttpOnly 标志来禁止通过 JavaScript 访问 cookie。这样可以减少 XSS 攻击者获取 cookie 的可能性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值