html 写入cookie,html - 本地存储与Cookie

最新推荐文章于 2023-12-21 10:42:11 发布
最新推荐文章于 2023-12-21 10:42:11 发布
阅读量405 收藏
点赞数
文章标签: html 写入cookie

在JWT的背景下,Stormpath撰写了一篇相当有用的文章,概述了存储它们的可能方法,以及与每种方法相关的(dis-)优势。

它还简要概述了XSS和CSRF攻击,以及如何对抗它们。

我附上了以下文章的一些简短片段,以防他们的文章脱机/他们的网站出现故障。

本地存储

问题:

Web存储(localStorage / sessionStorage)可通过同一域上的JavaScript访问。 这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击。 简而言之,XSS是一种漏洞,攻击者可以在其中注入将在您的页面上运行的JavaScript。 基本的XSS攻击试图通过表单输入注入JavaScript,攻击者发出警报(“你被黑了”); 进入表单以查看它是否由浏览器运行并且可以被其他用户查看。

预防:

为了防止XSS,常见的响应是转义并编码所有不受信任的数据。 但这远非完整的故事。 2015年,现代网络应用程序使用托管在CDN或外部基础架构上的JavaScript。 现代网络应用程序包括用于A / B测试的第三方JavaScript库,漏斗/市场分析和广告。 我们使用像Bower这样的包管理器将其他人的代码导入我们的应用程序。

如果您使用的其中一个脚本遭到入侵,该怎么办?恶毒   JavaScript可以嵌入页面,而Web存储则可以  损害。 这些类型的XSS攻击可以获得每个人的Web存储   在他们不知情的情况下访问您的网站。 这可能就是为什么了   一群组织建议不要存储任何有价值或信任的东西   网络存储中的任何信息。 这包括会话标识符和  令牌。

作为存储机制,Web存储不会强制执行任何安全措施   转让期间的标准。 谁读取Web存储并使用它必须   尽职尽责,确保他们始终通过HTTPS发送JWT   而且从不HTTP。

饼干

问题:

当与HttpOnly cookie标志一起使用时,Cookie无法通过JavaScript访问,并且不受XSS的影响。 您还可以设置安全cookie标记以保证cookie仅通过HTTPS发送。 这是过去利用cookie来存储令牌或会话数据的主要原因之一。 现代开发人员对使用cookie犹豫不决,因为他们传统上需要将状态存储在服务器上,因此破坏了RESTful最佳实践。 如果要在cookie中存储JWT,作为存储机制的Cookie不需要将状态存储在服务器上。 这是因为JWT封装了服务器为请求提供服务所需的一切。

但是,cookie容易受到不同类型的攻击:   跨站点请求伪造(CSRF)。 CSRF攻击是一种攻击   当恶意网站,电子邮件或博客导致用户的时候会发生这种情况   Web浏览器在可信站点上执行不需要的操作   用户当前已通过身份验证。 这是如何利用的   浏览器处理cookie。 Cookie只能发送到域中   这是允许的。 默认情况下,这是最初的域   设置cookie。 无论如何,cookie都将被发送以请求   无论你是在galaxies.com还是hahagonnahackyou.com。

预防:

可以使用同步令牌模式来防止CSRF。 这个   听起来很复杂,但所有现代的Web框架都支持   这个。

例如,AngularJS有一个验证cookie的解决方案   只能通过您的域访问。 直接来自AngularJS文档:

执行XHR请求时,$ http服务从a读取令牌   cookie(默认情况下为XSRF-TOKEN)并将其设置为HTTP标头  (X-XSRF-TOKEN)。 由于只有在您的域上运行的JavaScript才可以   读取cookie,您的服务器可以放心XHR来自   在您的域上运行的JavaScript。 您可以进行此CSRF保护   通过包括一个{

"iss": "http://galaxies.com",

"exp": 1300819380,

"scopes": ["explorer", "solar-harvester", "seller"],

"sub": "tom@andromeda.com",

"xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e"

} JWT声明无国籍:

{

"iss": "http://galaxies.com",

"exp": 1300819380,

"scopes": ["explorer", "solar-harvester", "seller"],

"sub": "tom@andromeda.com",

"xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e"

}

利用您的Web应用程序框架的CSRF保护使cookie变得摇滚   用于存储JWT的固体。 CSRF也可以被部分阻止   检查API中的HTTP Referer和Origin标头。CSRF   攻击将具有与之无关的Referer和Origin标头   你的申请。

完整的文章可以在这里找到:[https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/]

关于令牌本身的结构,他们还有一篇关于如何最好地设计和实现JWT的有用文章:[https://stormpath.com/blog/jwt-the-right-way/]

饭斯特Fanst
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie-recipe:练习HTMLCookie配方
04-01
在本项目"cookie-recipe:练习HTMLCookie配方"中,我们可以看到它是一个针对初学者的HTML实践教程,帮助学习者掌握HTML的基本结构和语法。 首先,HTML由一系列的元素组成,每个元素都有开始标签和结束标签,如`...
实例学习JavaScript读取和写入cookie
10-18
JavaScript中的cookie机制是一种存储少量数据在用户本地设备上的方法,这些数据可以在用户浏览不同页面时被网站读取,用于维持状态或记录用户偏好。本文将深入讲解如何使用JavaScript进行cookie的读取和写入。 首先...
html 写入cookie,JavaScript 写入与读取cookie
weixin_34928522的博客
06-03 2087
cookie实质是存储在计算机硬盘上一个文本文件,内中存储着一定量的信息。在实际应用中,站点可能会向用户硬盘写入cookie,也会根据需要读取cookie。下面通过代码实例介绍一下相关操作原理,并给出封装好的代码。一.写入cookiecookie是以键值对形式存在。下面看一下本站插件窝cookie的存储情况。首先进入插件窝首页,然后打开谷歌控制台,输入下面代码:document.cookie可以...
本地存储——Cookie
weixin_46515434的博客
09-05 949
Cookie全称是HTTP Cookie,简称Cookie,是浏览器存储数据的一种方式,因为存储在用户本地,而不是存储在服务器上,是本地存储,一般会自动随着浏览器每次请求发送到服务器端。读取的是一个由名值对构成的字符串,每个名值对之间由;读取到的是全部的cookie,原生的cookie不能根据名来读取值,但可以通过封装cookie来进行。利用Cookie跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等。max-age:值为数字,表示当前时间+多少秒后过期,单位是秒。
HTML5高级第一篇】Web存储 - cookie、localStorage、sessionStorage
前端知识分享喵
09-04 1888
Web存储 - cookie、localStorage、sessionStorage
浏览器本地存储cookie的应用-Vue篇
GothaM24的博客
07-23 795
前言 在前端开发中,有些时候,数据需要在前端做存储,有点:成本低,缺点:安全性低。 下面介绍使用cookie存储本地生成的uuid识别码 Vue中使用cookie 1、安装依赖 $ npm i vue-cookie -D 2、入口文件挂载cookie import cookie from 'vue-cookie' Vue.prototype.$cookie = cookie; 3、UUID生成公用方法(可忽略) createUUID(){ var d = new Date().getTime();
htmlcookie读取写入封装版本1
baidu_41562067的博客
12-21 458
/ 设置cookie,有效期为指定天数之后的当前时间。// 未找到指定键的cookie,返回null。// 拆分cookie字符串,得到键值对数组。// 遍历数组,查找指定键的cookie。// 找到指定键的cookie,返回其值。// 获取cookie字符串。
原生js cookie本地存储
红目香薰
04-01 1438
JS cookie 1、概述 cookie也叫HTTP Cookie,最初是客户端与服务器端进行会话(Session)使用的。 如果没写expires,那么下次打开网页,cookie就会消失,这个就是会话机制 2、格式 name=value; [expires=date]; [path=path]; [domain=somewhere.com]; [secure] encodeURIComponent函数可以:将文本字符串编码为一个统一资源标识符 (URI) 的一个有效组件 上面的方法主要用于协议、主
html请求将cookie一起发送,Cookie -- JavaScript 标准参考教程(alpha)
weixin_33274610的博客
06-23 735
Cookie目录重要说明:本教程已经搬迁,此处不再维护,请访问新网址:wangdoc.com/javascript。概述Cookie 是服务器保存在浏览器的一小段文本信息,每个 Cookie 的大小一般不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。Cookie 主要用来分辨两个请求是否来自同一个浏览器,以及用来保存一些状态信息。它的常用场合有以下一些。对话(session)管理...
关于我在用cookie储存HTML文件时cookie无法建立的问题
zhaicheng55的博客
11-20 1737
一般浏览器不允许文件打开的网页去设置,添加cookie。 必须用本地服务器打开文件中的网页才行,(即打开网页的不是文件路径的地址,而是数字的本地地址) 就需要下载插件live Server插件。而这个插件必须在打开的文件夹中才能运行,点击文件->打开文件夹->打开目的文件->在目的文件页面内右键有Open with live server即可。 cookie的查看也不需要在文件中添加console.log慢慢调试。 这里推荐右键->检查->console终端中输入documen
js编写HTML通过document.cookie写入不了cookie的问题
m0_47747430的博客
04-15 2531
js中通过document.cookie写入不了cookie的问题 使用VS code编写HTML应用cookie进行存储,发现编写无法读取到cookie的内容,即未能实现cookie存储。 作为新手问题,可以考虑这个原因:只有当用在服务器或者本地的服务器中的时候,才能使用这个方法写入cookie,所以VS code没有使用服务器方式? 这个原因可以通过方案一尝试解决: 打开 VS code,点击左侧扩展,输入 live server,点击安装即可; 安装成功后再VS界面右下角可以看到相应提示
HTML5 本地存储 LocalStorage详解
09-28
LocalStorage的出现解决了早期Cookie存储容量有限和限制过多的问题,为开发者提供了更加灵活的数据存储选择。 LocalStorage的基本特点: 1. **存储容量大**:LocalStorage允许每个网站存储的数据量最大为5MB,远超...
jQuery通过写入cookie实现更换网页背景的方法
10-22
Cookie是服务器发送到用户浏览器并存储在本地的一小段文本数据。当用户再次访问同一网站时,浏览器会将这些cookie发送回服务器,从而允许服务器识别和记住用户的状态或偏好。在JavaScript中,我们可以通过`document....
Cookie-Editor:Safari的Cookie编辑器扩展
03-21
**Cookie-Editor:Safari浏览器Cookie管理扩展** Cookie-Editor是一款专为Safari浏览器设计的Cookie编辑工具,它允许用户方便地查看、编辑和管理浏览器中的Cookie数据。这对于开发者进行网页应用测试、调试或者普通...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
HTML5本地存储与SessionStorage实战教程
在提供的代码示例中,`window.onload`事件触发时,当前日期被存储到sessionStorage的"currenttime"键下,同时写入cookie以便后续比较。`updateHTML`函数用于更新页面上显示的当前时间,从sessionStorage获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值