关于处理cookie避免受到脚本攻击

最新推荐文章于 2023-05-23 21:22:39 发布
最新推荐文章于 2023-05-23 21:22:39 发布
阅读量650 收藏 1
点赞数
文章标签: 数据库 python
原文链接:https://my.oschina.net/u/2929819/blog/758669
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

尽管cookie没有病毒那么危险,但它仍包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去,尤其是当其中还包含有私人信息的时候。

这并非危言耸听,一种名为跨站点脚本攻击(Cross site scripting)可以达到此目的。通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有 Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器(如:AJAX)。一旦 Cookie 落入攻击者手中,它将会重现其价值。

建议开发人员在向客户端 Cookie 输出敏感的内容时(譬如:该内容能识别用户身份):

1)设置该 Cookie 不能被脚本读取,这样在一定程度上解决上述问题。

  2)对 Cookie 内容进行加密,在加密前嵌入时间戳,保证每次加密后的密文都不一样(并且可以防止消息重放)。

  3)客户端请求时,每次或定时更新 Cookie 内容(即:基于第2小条,重新加密)

  4)每次向 Cookie 写入时间戳,数据库需要记录最后一次时间戳(防止 Cookie 篡改,或重放攻击)。

  5)客户端提交 Cookie 时,先解密然后校验时间戳,时间戳若小于数据数据库中记录,即意味发生攻击。

基于上述建议,即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。 Cookie 窃取:搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户帐户。

Cookie 篡改:利用安全机制,攻击者加入代码从而改写 Cookie 内容,以便持续攻击。

转载于:https://my.oschina.net/u/2929819/blog/758669

weixin_33749131
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie安全问题与防范
X先生说
04-21 2409
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip_js设置cookie
01-07
java后台和php后台如何设置HttpOnly到前台浏览器的cookie中.cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击.zip
基于Cookie攻击和防范学习总结
Rainman的专栏
01-07 1万+
实现基于HTTP Cookie攻击的前提是目标系统在Cookie中保存了用户ID,凭证,状态等其他可以用来进行攻击的信息。通常的攻击方式有三种:1. 直接访问Cookie文件查找想要的机密信息2. 在客户端和服务端进行Cookie信息传递时候进行截取,进而冒充合法用户进行操作。3. 攻击者修改Cookie信息,所以在服务端接收到客户端获取的Cookie信息的时候,就会对攻击者伪
使用cookie防止恶意点击
weixin_34293141的博客
07-27 373
/设置cookie,避免恶意点击/ function setCookie(key,value,times) { var exdate=new Date(); exdate.setTime(exdate.getTime()+(times*60*1000));//times如果是6,代表cookie的生命周期是6分钟 ...
总结Cookie安全:安全风险和防范建议
Neonline254的博客
05-23 3006
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
sso跨域写cookie的一段js脚本(推荐)
11-23
需要注意的是,这种方式可能受到浏览器安全策略的影响,例如CORS(跨源资源共享)策略,以及对第三方Cookie的限制。此外,对于某些安全敏感的应用,这种做法可能需要配合更复杂的认证和授权策略。在实际应用中,确保...
xss跨站脚本攻击与预防
11-04
存储型XSS则更为严重,因为恶意脚本被存储在服务器上,任何访问该页面的用户都可能受到攻击;DOM型XSS则涉及到了JavaScript对文档对象模型(DOM)的处理攻击者可以修改页面上的DOM元素,导致脚本执行。 **XSS攻击...
WEB前端常见受攻击方式及解决办法总结
10-15
【WEB前端常见受攻击方式及解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见的攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
ASP源码—修补跨站脚本攻击漏洞.zip
11-03
跨站脚本攻击是网络安全领域中常见的一种攻击方式,它发生在攻击者通过注入恶意脚本到Web页面中,从而影响其他用户时。XSS攻击可能导致敏感信息泄露、会话劫持、钓鱼攻击等多种危害。以下是一些关于ASP和XSS攻击相关...
防止MVC应用程序受到跨站点请求伪造攻击
04-05
通过理解CSRF攻击的工作原理,了解其对MVC应用程序的威胁,并结合ASP.NET MVC提供的工具和最佳实践,开发者可以有效地保护他们的应用,避免用户遭受不必要的损失。在构建安全的Web应用程序过程中,防止CSRF攻击是一...
防止SXX攻击的JAVA实例
03-29
自定义过滤器,用于处理系统安全相关(XSS,SQL注入等)
如何保护你的账户和财产不被Cookie劫持和HTML注入攻击
陈书予
03-08 1万+
随着互联网的普及,网络攻击也愈发猖獗,其中钓鱼攻击成为网络攻击的一大类别。钓鱼攻击指的是通过欺骗手段获取用户的敏感信息或者财产的行为。其中,利用Cookie劫持+HTML注入进行钓鱼攻击成为了攻击者非常常用的一种手段。本篇博客将详细讲解这种攻击方式的实现原理,以及如何从技术层面上进行防范。
登录重放攻击预防
u014538198的专栏
11-29 4814
现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:   1、前端web页面用户输入账号、密码,点击登录。 2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。 3、提交账号、md5之后的密码 4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。   上述流程看似安
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
Cookie重放攻击
西部壮仔的博客
03-11 1884
Cookie介绍 cookie: (小甜饼,外国程序猿还是很有情调的) 服务器存储到客户机器上的信息 作用: 1.用于记录用户历史登录网站的情况(自动识别) 2.网站可以利用cookies跟踪统计用户访问该网站的习惯,比如什么时间访问,访问了哪些页面,在每个网页的停留时间等(利用cookie跟踪用户行为) (利用这些信息,一方面是可以为用户提供个性化的服务) 3.记录用户登录信息(很容易泄密) 生...
Cookie设置HttpOnly属性,防止前端脚本更改cookie的XSS攻击
Sunyc1992的博客
11-02 8488
Tomcat版本为6.0.39,JDK版本为1.6update45 在Web工程上增加一个Filter对Cookie进行处理 public class CookieFilter implements Filter { public void doFilter(ServletRequest request, ServletResponse response,
javascript脚本无法获取服务端写入的Cookies
邓福勇
03-30 3162
看看两段代码吧: 1. // 在当前请求的输出页面中输出Cookie HttpCookie cookie = new HttpCookie("ClientId", loginResult.TValue.Info.Code.ToString()); cookie.Expires = DateTime.Now.AddMinutes(20); this.Response.Cookies.Add(
服务端写入cookie客户端取不到的解决办法
feinifi的博客
03-09 2万+
      今天发现一个问题,程序在本地运行好好地,打包到服务器,无论怎么加日志,更新打包,最后还是有问题, 一步一步定位问题,发现是cookie的问题。      服务端定义设置cookie的代码:  public void setCookie(HttpServletRequest request, HttpServletResponse response, String key,Str...
(禁止盗取cookie)利用httponly提升应用程序安全性
weixin_30556959的博客
08-15 147
随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为了在各个会话之间传递信息,就不可避免地用到Cookie或者Session等技术来标记访问者的状态,而无论是Cookie还是Session,一般都是利用Cookie来实现的(Ses...
XSS跨站脚本攻击课件
最新发布
11-24
XSS注入的原理在于利用Web应用处理用户输入的疏忽,攻击者通过各种方式(如URL参数、表单提交等)将恶意JavaScript代码嵌入到请求中,当服务器将含有恶意代码的响应返回给浏览器时,浏览器无差别地执行这些脚本,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值