cookie

最新推荐文章于 2024-07-20 14:13:03 发布
最新推荐文章于 2024-07-20 14:13:03 发布
阅读量485 收藏
点赞数
分类专栏: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42995876/article/details/89889563
版权

cookie中的token取不到?
参考:https://segmentfault.com/q/1010000016569701
评论里说:
如果cookie是http-only的话,js中是无法获取的。不是的话可以通过document.cookie来获取。而是否设置http-only则是后台决定的。

为什么有token:
https://blog.csdn.net/qq_34309704/article/details/80572077
https://blog.csdn.net/qq_38553333/article/details/80055521
如果后端cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击 Cross SiteScript,跨站脚本攻击
后端JWT:https://ninghao.net/blog/2834
JWT 标准的 Token 有三个部分:
header(头部)、payload(数据)、signature(前面)

token中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

头部都是同样的信息,所以都为:eyJhbGciOiJIUzI1NiJ9

登录login后,登录接口会在浏览器存token(access_token和session_token),然后每5分钟refreshToken会替换这个token(调用接口的时候,会在response头里设置cookie,设置两次,设置access_token和session_token,此时request头里还是旧的token;接口成功后,浏览器中的cookie会替换为新的token);

这个旧的token超过5分钟也是可以用的,只是调用接口成功后会替换为新的token;

但是,如果超长时间(设置的值:eg:30min)后,没有调用接口,那么token一直没有更新,此时,如果你在调用接口时候,使用的仍是旧token,超过临界值,此时token失效,就会报错(eg:401),跳转到登录页去(且退出登录)!
请求头里为旧的token,响应头里:

set-cookie: access_token=""; path=/; domain=.xxxx.com; Max-Age=0; Expires=Thu, 01-Jan-1970 00:00:00 GMT
set-cookie: refresh_token=""; path=/; domain=.xxxx.com; Max-Age=0; Expires=Thu, 01-Jan-1970 00:00:00 GMT
set-cookie: session_token=""; path=/; domain=.xxxx.com; Max-Age=0; Expires=Thu, 01-Jan-1970 00:00:00 GMT
status_code: 401

token为空,时间为1970年,

cookie和session详解:
https://www.cnblogs.com/andy-zhou/p/5360107.html

JavaScript:alert(document.cookie);

https://www.cnblogs.com/zhuanzhuanfe/p/8010854.html

maven
jshipster
jwt

谷歌游览器Cookie的几种方法
孤寒者的博客
07-31 1万+
谷歌游览器Cookie的几种方法
关于Cookie 的HttpOnly属性(java/web操作cookie+Tomcat操作jsessionid)
sleepincoffee1314的专栏
04-20 1万+
关于web项目给cookie添加Httponly属性 1 过滤器JAVA代码实现 2 配置Tomcat文件
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境保存与会话有关的任何信息,http是会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
cookie设置HttpOnly
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读cookie信息,这样能有效的防止XSS攻击,窃cookie内容,这样就增加了cookie的安全性,即便是这样,也要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
Http-Only Cookie
weixin_30381317的博客
07-18 145
设置Cookie的时候,如果服务器加上了HttpOnly属性,则这个Cookie无法被JavaScript读(即document.cookie会返回这个Cookie的值),只用于向服务器发送。 Set-Cookie: key=value; HttpOnly 上面的这个Cookie将无法用JavaScript获。进行AJAX操作时,XMLHttpRequest...
【转】HTTP-only Cookie 脚本获JSESSIONID的方法
weixin_34321977的博客
10-14 511
2019独角兽企业重金招聘Python工程师标准>>> ...
HTTP-only Cookie:保护用户隐私的重要手段
最新发布
你若盛开,清风自来
07-20 1284
本文将介绍HTTP-only Cookie的概念、作用及其在实际项目中的应用,帮助读者更好地理解HTTP-only Cookie的重要性,提高网络安全防护能力。HTTP-only Cookie是一种特殊类型的Cookie,它只能通过HTTP协议发送和接收,能通过JavaScript等客户端脚本访问。这意味着,即使攻击者通过XSS等手段获了用户的Cookie,也无法通过客户端脚本读或修改这些Cookie
EditThisCookie.crx cookie编辑导入导出利器
06-29
《EditThisCookie.crx:强大的Cookie管理工具及与curl的集成》 在互联网浏览中,Cookie扮演着重要的角色,它们存储用户信息、保持登录状态、个性化网页内容等。EditThisCookie.crx是一款专为Chrome浏览器设计的强大...
cookie非常好用的google插件
06-10
标题中的“获cookie非常好用的google插件”指的是在Google Chrome浏览器上的一种扩展程序,它允许用户方便地管理和操作浏览器中的Cookie数据。Cookie是网站在用户计算机上存储的小型文本文件,用于跟踪用户偏好、...
java操作cookie示例(删除cookie)
09-04
在Java Web开发中,Cookie是一种常用的技术,用于在客户端存储和传递少量信息。本文将详细介绍如何使用Java操作Cookie,特别是如何设置、读和删除Cookie。 首先,我们来看如何**设置Cookie**。在Java中,我们通常...
使用Http-only Cookie来防止XSS攻击
yuhan_9204的专栏
06-21 6346
有些网站考虑到这个问题,所以采浏览器绑定技术,譬如将Cookie和浏览器的User-agent绑定,一旦发现修改就认为Cookie失效。但是这种方法存在很大的弊端,因为当入侵者偷得Cookie的同时他肯定已经同时获得了User-agent。还有另外一种比较严格的是将Cookie和Remote-addr相绑定(其实就是和IP绑定),但是这样有可能带来比较差的用户体验,比如家里的ADSL就是每次连接
cookie的httpOnly设置与使用问题
bingmoujs的博客
12-21 5496
设置一个 HttpOnly 的 cookie 意味着该 cookie 能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在同的上下文中设置 HttpOnly cookie:1. 在 HTTP 响应中:如果你正在使用纯 HTTP/HTTPS(没有特定的后端语言或框架),你可以在 HTTP 响应的 Set-Cookie 头中设置 HttpOnly 属性:HttpOnly;
cookie安全之HTTP -only
Whatsoever1的博客
04-14 772
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie中设置了only属性,则JavaScript脚本将无法读cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性。
什么是 cookie 的 httponly 属性
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
06-17 5941
在设置了 HttpOnly 属性的情况下,浏览器将禁止通过 JavaScript 访问和修改 Cookie,从而有效地防止一些常见的攻击,例如跨站脚本攻击(XSS)。在一个具有用户身份认证的 Web 应用程序中,服务器在用户成功登录后,将用户凭据存储在一个名为 “authToken” 的 Cookie 中,并设置其 HttpOnly 属性。一个在线银行应用程序在用户进行敏感操作(如转账)时,将用户的会话标识存储在一个名为 “sessionID” 的 Cookie 中,并设置其为 HttpOnly。
HttpOnly介绍以及防止XSS攻击时的作用(转)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
01-12 949
[url=http://www.owasp.org/index.php/HTTPOnly]介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP)[/url] 转自:[url=http://netsecurity.51cto.com/art/200902/111143.htm]利用HTTP-only Cookie缓解XSS之痛[/url] ...
Cookie 中 相关HttpOnly属性的重要性
zy103118的博客
04-26 4079
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则会传递该信息,所以会被窃Cookie 的具体内容。2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被
什么是HTTP-only Cookie,它有什么安全特性?
长风破浪会有时的博客
05-16 328
最主要的安全特性就是它能防止一些坏人(黑客)偷看你的小纸条(Cookie)上的信息。因为黑客通常会通过一些手段在你的浏览器里运行恶意程序(比如JavaScript),然后尝试读或修改你的CookieCookie就像是小纸条,当你在浏览网站的时候,网站会把一些小纸条(Cookie)放在你的浏览器里。这样,当你下次再去这个网站的时候,网站就可以通过读这些小纸条来认识你,并为你提供更好的服务。它的特殊之处在于,它只能被网站服务器读和修改,而能被浏览器里的其他程序(比如JavaScript)读或修改。
XSS HTTP-only
luojinbai的专栏
02-28 1050
装载自: http://itlab.idcquan.com/security/wlaq/777263.html在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie.我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only coo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值