登陆后往cookie里写东西_把登录态信息写在cookie里面,如果被用户抓包之后,伪造cookie发送请求,这种情况怎么避免呢?...

最新推荐文章于 2023-06-20 13:53:43 发布
最新推荐文章于 2023-06-20 13:53:43 发布
阅读量425 收藏
点赞数
文章标签: 登陆后往cookie里写东西
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30880009/article/details/111957692
版权

最重要的是要防被抓包,其他的都只能加大被伪造的难度,并不能完全避免被“伪造”。

毕竟,无论是 cookie 或 session,或 token ,客户端都要有一个登录凭证,后端只能认这个凭证,如果凭证都被别人拿走了,那后端也没有什么办法。

当然,你可以通过多个认证方式结合,加大伪造的难度。

比如:

cookie 中的字段意义不要太容易被看懂,多放几个混淆一下,有些是请求的参数,有些是认证身份的;

不只判断 cookie,还要判断客户端是不是同一个,ip是不是同一个;

不只 cookie,localStorge 和 sessionStorage 也放一些认证的字段。

....

另外,说一下几种无效的方法:

不断刷新 cookie 或 session:

这是没有用的,你刷新的时候还不是用旧的换新的,伪造的人手里有旧的,当然就可以获得新的。

当然,可能加大伪造难度。

前端传输的时候用 md5 加密:

后端要认证身份,必然需要能解密的算法,如果是用 md5 这种单向加密,后端根本没有办法认证用户身份。前端使用的加密后的字符串必须是由后端来解密的。

如果采用可解密的算法,但因为前端代码别人是可以看到的,加密的方法自然也可以看到,使用已有的加密算法完全没有意义,要使用一个只有自己才能解密的加密算法是比较难的。

总之,还是那句话:最重要的是要防被抓包。

打打印机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php同时使用session和cookie来保存用户登录信息的实现代码
10-22
下面小编就为大家带来一篇php同时使用session和cookie来保存用户登录信息的实现代码。小编觉得挺不错的,现在分享给大家,也给大家做个参考,一起跟随小编过来看看吧
JS使用cookie保存用户登录信息操作示例
10-16
主要介绍了JS使用cookie保存用户登录信息操作,结合具体实例形式分析了javascript使用cookie实现针对用户信息的存储与读取相关操作技巧,需要的朋友可以参考下
登录认证模块之cookie仿冒
千寻的博客
10-17 628
cookie仿冒 介绍 定义 服务器为了鉴别客户端浏览器会话及身份信息,会将用户身份信息入在 Cookie中,并发送至客户端存储。 攻击者通过尝试修改 Cookie中的身份,从而达到仿冒其他用户身份的目的,并拥有相关用户的所有权限。 危害 系统使用 Cookie机制进行用户身份鉴别时,攻击者可直接通过篡改请求中的 Cookie用户身份参数值来冒充仿冒他人,从而对目标系统及用户造成危害。 认证身份冒用 用户权限被操控 漏洞原理 cookie仿冒测试流程 测试示例 正常登录COOKIE信息
vue 将登录信息放入cookie中,后端请求接口携带
taiguolaotu的博客
06-20 1114
【代码】vue 将登录信息放入cookie中,后端请求接口携带。
实现登陆模块时Cookie,Session,Token的理解
Wyatt_zhai
11-18 1483
当我们实现登陆模块时,总是会看到使用JWT,自然会看到Cookie,Seesion,Token等字眼,本文希望可梳理清楚概念,巩固好基础知识
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 3969
cookies,session,token都是相对安全,并不能完全防窃取
记一次COOKIE伪造登录
蚁景网安学院
03-08 3078
通过信息收集—发现它的密码规则如下(因重点是COOKIE伪造登录,故密码规则就不放图了,你懂的)
通过改变浏览器的Cookie切换登录用户.zip_cookie会变化吗_use23n_通过改变浏览器的Cookie切换登录用户
09-23
通过改变浏览器的Cookie切换登录用户,从此,更换登录用户不需要输入帐号密码验证码了。
Django利用cookie保存用户登录信息的简单实现方法
09-19
主要介绍了Django利用cookie保存用户登录信息的简单实现方法,结合实例形式分析了Django框架使用cookie保存用户信息的相关操作技巧,需要的朋友可以参考下
php用户登录cookie信息安全分析
10-22
主要介绍了php用户登录cookie信息安全,介绍了cookie加密与令牌保护两种cookie信息安全保护的技巧,需要的朋友可以参考下
爬虫使用过程中cookie模拟用户登录和防盗链的使用
weixin_51415327的博客
03-24 3164
cookie和防盗链
Cookie伪造
cainiao17441898的博客
05-18 4398
解题: 创建了一个user用户登陆之后发现。 抓包看一下。
设计一个可扩展的用户登录系统 (3)
sumin1992的博客
01-11 779
转 廖雪峰老师---------------- 设计一个可扩展的用户登录系统 (3) 廖雪峰 / 编程 / 2016-4-22 12:12 / 阅读: 5867 在系列 (1)和系列 (2)中我们讨论了用户认证的数据库结构和相关代码。本文继续讨论几个遗留问题。 如何生成一个可信的Cookie 因为Cookie都是服务器端创建的,所以,生成一个可信Cookie的关键在于,
通过COOKIE欺骗登录网站后台
weixin_30908941的博客
03-09 1529
1.今天闲着没事看了看关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的知识,xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,CSRF全名是Cross-site request forgery,是一种对网站的恶意利...
使用RSA加密完成登录功能,防止用户信息抓包泄漏!
New_Yao的博客
06-30 5184
前言 之前项目中,登录模块发送登录请求基本上都是明文传输用户名、密码,这样如果系统的请求被恶意抓取,用户信息就会泄漏无疑,毫无安全可言,那么有什么办法可以提高安全性呢? js加密 在js中加密用户的密码,使之在传输过程中程加密状,这样,即使在被恶意拦截了请求,获取了用户名密码后,别人并不会知道密码,因此完成加密! RSA加密算法 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中...
利用cookie保存用户登录信息初步
09-10 3727
设置cookieresponse对象.set_cookie('key','value',多少秒后过期)获取cookierequest对象.COOKIES.get('key')1.我们继续前一篇的代码def hi(request): msg = {'result':''} loginSuccess = False # 是否登录成功标识 if user.userLogin(reque
服务器验证用户登录信息用的cookie,一般都包含什么内容,token在cookie扮演了个什么角色
最新发布
07-15
服务器验证用户登录信息cookie通常包含以下内容: 1. 用户ID:用于标识唯一的用户身份。 2. 过期时间:指定cookie的有效期限,超过该时间后将被服务器忽略。 3. 加密签名:用于验证cookie的真实性和完整性,防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值