登陆后往cookie里写东西_把登录态信息写在cookie里面,如果被用户抓包之后,伪造cookie发送请求,这种情况怎么避免呢?...

最新推荐文章于 2024-05-16 09:24:58 发布
最新推荐文章于 2024-05-16 09:24:58 发布
阅读量455 收藏
点赞数
文章标签: 登陆后往cookie里写东西
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30880009/article/details/111957692
版权
本文探讨了防止Web应用被抓包和伪造的挑战,强调了防止抓包的重要性。介绍了多种增强安全性的方法,如混淆cookie字段,结合多种验证方式,以及考虑客户端和IP一致性。同时,指出了不断刷新cookie和前端加密等无效策略,并提醒开发者关注代码安全性,确保加密算法的独特性。
摘要由CSDN通过智能技术生成

最重要的是要防被抓包,其他的都只能加大被伪造的难度,并不能完全避免被“伪造”。

毕竟,无论是 cookie 或 session,或 token ,客户端都要有一个登录凭证,后端只能认这个凭证,如果凭证都被别人拿走了,那后端也没有什么办法。

当然,你可以通过多个认证方式结合,加大伪造的难度。

比如:

cookie 中的字段意义不要太容易被看懂,多放几个混淆一下,有些是请求的参数,有些是认证身份的;

不只判断 cookie,还要判断客户端是不是同一个,ip是不是同一个;

不只 cookie,localStorge 和 sessionStorage 也放一些认证的字段。

....

另外,说一下几种无效的方法:

不断刷新 cookie 或 session:

这是没有用的,你刷新的时候还不是用旧的换新的,伪造的人手里有旧的,当然就可以获得新的。

当然,可能加大伪造难度。

前端传输的时候用 md5 加密:

后端要认证身份,必然需要能解密的算法,如果是用 md5 这种单向加密,后端根本没有办法认证用户身份。前端使用的加密后的字符串必须是由后端来解密的。

如果采用可解密的算法,但因为前端代码别人是可以看到的,加密的方法自然也可以看到,使用已有的加密算法完全没有意义,要使用一个只有自己才能解密的加密算法是比较难的。

总之,还是那句话:最重要的是要防被抓包。

打打印机
关注
Web基础:Cookie、Session
不怕猫的耗子A
03-06 706
Cookie cookie是怎么工作的 1、我们在浏览器中,经常涉及到数据的交换,比如你登录邮箱,登录一个页面。我们经常会在此时设置30天内记住我,或者自动登录选项。那么它们是怎么记录信息的呢,答案就是今天的主角cookie了,Cookie是由HTTP服务器设置的,保存在浏览器中,但HTTP协议是一种无状协议,在数据交换完毕后,服务器端和客户端的链接就会关闭,每次交换数据都需要建立新的链接。.........
安全角度浅谈cookie、session、token
Packet_Lee的博客
04-14 1010
前言: 为什么要研究cookie、session和token呢? 我当前已经学习完了sql注入和部分xss攻击,其中都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
登录认证模块之cookie仿冒
千寻的博客
10-17 652
cookie仿冒 介绍 定义 服务器为了鉴别客户端浏览器会话及身份信息,会将用户身份信息入在 Cookie中,并发送至客户端存储。 攻击者通过尝试修改 Cookie中的身份,从而达到仿冒其他用户身份的目的,并拥有相关用户的所有权限。 危害 系统使用 Cookie机制进行用户身份鉴别时,攻击者可直接通过篡改请求中的 Cookie用户身份参数值来冒充仿冒他人,从而对目标系统及用户造成危害。 认证身份冒用 用户权限被操控 漏洞原理 cookie仿冒测试流程 测试示例 正常登录COOKIE信息
vue 将登录信息放入cookie中,后端请求接口携带
taiguolaotu的博客
06-20 1152
【代码】vue 将登录信息放入cookie中,后端请求接口携带。
Cookie有哪些安全隐患,如何防范?
最新发布
长风破浪会有时的博客
05-16 673
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息
实现登陆模块时Cookie,Session,Token的理解
Wyatt_zhai
11-18 1540
当我们实现登陆模块时,总是会看到使用JWT,自然会看到Cookie,Seesion,Token等字眼,本文希望可梳理清楚概念,巩固好基础知识
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4292
cookies,session,token都是相对安全,并不能完全防窃取
记一次COOKIE伪造登录
蚁景网安学院
03-08 3123
通过信息收集—发现它的密码规则如下(因重点是COOKIE伪造登录,故密码规则就不放图了,你懂的)
取网页COOKIE(001).rar
03-12
之后,每当客户端向同一个服务器发送请求时,它会在请求头中携带这个Cookie,让服务器识别客户端的状。 2. **Cookie的用途**:Cookie的主要用途包括用户身份验证、保持登录、记录用户偏好设置、网站流量分析...
[zkaq靶场]CSRF--dedecms跨站请求伪造
wwxxee
05-09 857
CSRF 靶场环境 首页: 本地测试 dedecms。 在本地搭建dedecms测试环境。 后台提供的新建文件功能。 第一步、测试新建文件功能: 点击新建文件: 在此处新建一个一句话木马。 可以新建php文件。 第二步、生成CSRF Poc 这次我们新建一个2.php文件,文件内容依然是与上面一样的一句话木马。 然后抓包请求。 将该请求生成CSRF Poc。 保存成2.html。 然后在同一个浏览器的新标签页下打开2.html 点击submit。 2.php文件新建成功。 这时,我们就可以认
WEB安全之-CSRF(跨站请求伪造
weixin_43964148的博客
06-21 557
WEB安全之-CSRF(跨站请求伪造) WEB安全中经常谈到的两个东西:XSS和CSRF。 这两个概念在前端面试中也经常被问到,只要涉及到WEB安全的东西就必须提到他们哥俩,从我以往的面试经历中我多次死在这两个东西上,知道这两个东西但让我仔细描述下就瞎几把乱扯,结果可想而知。 这几天也查阅了相关书籍,终于把这两个东西搞明白了,为此决定篇文章来记录他们俩以备今后复习,这篇先介绍CSRF。 CSRF是什么鬼 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Cl.
爬虫使用过程中cookie模拟用户登录和防盗链的使用
weixin_51415327的博客
03-24 3204
cookie和防盗链
Cookie伪造
cainiao17441898的博客
05-18 4593
解题: 创建了一个user用户登陆之后发现。 抓包看一下。
设计一个可扩展的用户登录系统 (3)
sumin1992的博客
01-11 788
转 廖雪峰老师---------------- 设计一个可扩展的用户登录系统 (3) 廖雪峰 / 编程 / 2016-4-22 12:12 / 阅读: 5867 在系列 (1)和系列 (2)中我们讨论了用户认证的数据库结构和相关代码。本文继续讨论几个遗留问题。 如何生成一个可信的Cookie 因为Cookie都是服务器端创建的,所以,生成一个可信Cookie的关键在于,
通过COOKIE欺骗登录网站后台
weixin_30908941的博客
03-09 1558
1.今天闲着没事看了看关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利...
利用cookie保存用户登录信息初步
09-10 3738
设置cookieresponse对象.set_cookie('key','value',多少秒后过期)获取cookierequest对象.COOKIES.get('key')1.我们继续前一篇的代码def hi(request): msg = {'result':''} loginSuccess = False # 是否登录成功标识 if user.userLogin(reque
登陆信息Cookie
toulezu的专栏
07-28 619
[b]SendServlet.java[/b]: [code="java"] package com.chen.test; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.Cookie;...
Django使用Session与Cookie实现用户登录保持
"本文介绍了在Django框架中使用Session和Cookie来实现用户登录的保持,旨在帮助开发者理解这两种技术的工作原理及其在实际应用中的实现方式。" 在Web开发中,由于HTTP协议的无状特性,我们需要采取措施来记住...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值