【前端安全】cookie和token都存放在header中,为什么不会劫持token?

最新推荐文章于 2024-05-14 09:59:49 发布
最新推荐文章于 2024-05-14 09:59:49 发布
阅读量1.3w 收藏 13
点赞数
分类专栏: 前端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013451157/article/details/98478484
版权

token不是为了防止XSS的,而是为了防止CSRF的;

CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token;

以CSRF攻击为例:

  • cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作;
  • token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作;
abloume
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4658
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
vue前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录的时候获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
cookietoken存放header ,为什么不劫持 token
rqz__的博客
09-14 1289
虽然CookieToken都存在一定的安全风险,但在合理使用的情况下,采取相应的安全措施可以有效地降低劫持的风险。同时,开发人员也需要注意安全编码实践,避免XSS、CSRF等攻击方式。CookieToken都可以存放在HTTP请求的Header进行传输,但它们有不同的机制来保护安全性,以防止劫持
如何确保您的Token安全:防范常见威胁与最佳实践
最新发布
fudaihb的博客
05-14 1620
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序token常常用于身份验证和话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token安全性。
php token放到head,我觉得把 Token 放在 Header 里更好一些
weixin_35936869的博客
03-16 2089
如教程 Token 在 Response body 进行传递,并且把 Token 的替换单独做了一个路由。这种方式我觉得对于客户端来说很不友好。我觉得应该将 Token 放在 Header 进行传递。在登录状态下,所有接口都把 Token 放在 Response Header ,客户端请求时也是通过 Request Header 进行传输,当 Token 失效时服务端自动刷新 Token ...
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1383
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
前端安全 -- 关于token
Knight__D
12-04 478
关于token 关于token的相关知识还有很多,知识从前端角度去理解一下token,简单记录下,以后有机学习更多的话再补充 token可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) Token 可以是无状态的,可以在多个服务间共享 token原理 1.将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。 2.将形成的密文用句号链
面试官:如何保证token安全(1),网络安全开发零基础教学
ccc6553584的博客
04-14 880
在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
在vue获取token,并将token写进header的方法
10-17
在Vue.js应用安全地处理用户认证通常涉及到获取、存储和使用TokenToken一般用于身份验证,确保用户的身份安全。以下是在Vue获取Token并将其写入HTTP请求Header的方法,这里主要用到了Vue、axios、Vuex以及...
详解OAuth2 Token 一定要放在请求头
08-18
OAuth2 Token 是否一定要放在请求头 在了解 OAuth2 Token 时,我们总是遇到一个问题,那就是 OAuth2 Token 一定要放在请求头吗?答案是否定的,本文将从源码的角度来分享一下 Spring Security OAuth2 的解析...
解决控制台cookie没有携带token的问题
01-20
postMan都请求成功了,还携带了token, 这是咋回事呢,我就想可能有两种原因: 1.nginx问题 2.网关zuul的问题 于是我就调试一下看看在设置cookie时候发生了什么, 发现在setDomainName时候ip地址由192.168.6.129...
Cookie、Session和Token三者的区别及使用
11-13
测试的过程,经常有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
tokencookie的区别
热门推荐
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
token前端保存的安全性思考
JavaMa的博客
12-15 4427
CSRF和XSS CSRF:用户在A网站登录,未退出A网站的前提下访问B网站,B网站向A网站发起请求,此时浏览器携带用户在A网站的cookie请求A网站,A网站并不知道是用户的操作还是B网站(危险)的操作。 XSS:是向网站 A 注入 JS代码或html脚本等,然后执行 JS 里的代码,篡改网站A的内容或者盗用cookie等。 前端可以把token存储在localstorage或者cookie。 方案:存cookie比较好。 localstorage有xss风险 ,cookie有csrf 和xss风险。
basic认证把用户名密码放在request header,这样安全吗?
weixin_42299862的博客
07-15 5379
一、背景 在postman调试的时候我们选择认证方式是basic auth,即 说明该项目是一个Authorization项目 参考https://blog.csdn.net/luckyzsion/article/details/80216861整理出http auth的过程: 1、客户端发送http请求 2、服务器发现配置了http auth,于是检查request里面有没有"Authorization"的http header 3、如果有,则判断Authorization里面的内容是否在用户列表里面
使用 token 认证就不有任何问题了吗?
Aurora.Q 的博客
12-24 878
前端有让 token 失效的需求,比如登出,因此需要向后端发请求,让后端保存一个让 token 失效的信息,比如后端存在数据库,那么每次前端发请求的时候都要去查一次数据库,这显然与我们初衷不符。后端可以在生成 token 的时候给 token 配置一个失效时间,一般而言,这个失效时间很短(0.5-1h),这样,即使 token前端泄漏,但是由于其有效期很短,因此并不造成很大的安全事故。然后 token 很短的话,对用户体验很不好,很可能造成用户在使用的过程被强制退出,让用户重新登录,因此 acc
【Github】更新官方推荐的使用access_token安全访问API的方式,用Authorization HTTP header代替query paramet,旧方式即将被废弃
瓦刀
02-07 6195
之前一直没注意邮件,在群里朋友的提醒下发现Github给我发了这样的一篇邮件,见下图 重点我已经标出来了,大意是说请将access_token通过作为Authorization HTTP header的参数传输,而不是作为url的参数明文传输。 官方文档是这么写的: 之前我在项目是这么写的。 Request request = new Re...
在vue2cookietoken 都存在headel,为什么不劫持token呢?
05-30
我之前说的并不完全准确,如果将token直接存储在header,是存在被劫持的风险的。攻击者可以通过网络抓包等方式获取到用户的token,然后冒充用户进行操作。 为了避免这种情况的发生,通常token进行加密或者使用JWT等安全协议进行安全传输。在前端代码,我们可以通过设置httpOnly属性来防止恶意脚本获取cookie。在后端代码,我们需要对token进行严格的验证和过期时间的限制,以确保token安全性。 总之,cookietoken安全性是非常重要的,我们需要在多个层面上进行安全防范,确保用户信息的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值