token在前端保存的安全性思考

最新推荐文章于 2024-08-27 18:01:37 发布
最新推荐文章于 2024-08-27 18:01:37 发布
阅读量4.5k 收藏 12
点赞数 3
分类专栏: 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43883685/article/details/111241494
版权
本文详细介绍了CSRF(跨站请求伪造)和XSS(跨站脚本攻击)两种常见的网络安全威胁。CSRF发生在用户在A网站登录后,B网站可以利用用户的A网站cookie进行恶意操作。而XSS则是通过注入脚本到A网站,执行并窃取用户信息。针对这两种攻击,建议将token存储在cookie中,并设置为httponly以降低XSS风险。同时,前端和后端都应采取措施防范XSS攻击。
摘要由CSDN通过智能技术生成
CSRF和XSS

CSRF:用户在A网站登录,未退出A网站的前提下访问B网站,B网站向A网站发起请求,此时浏览器会携带用户在A网站的cookie请求A网站,A网站并不知道是用户的操作还是B网站(危险)的操作。

XSS:是向网站 A 注入 JS代码或html脚本等,然后执行 JS 里的代码,篡改网站A的内容或者盗用cookie等。

前端可以把token存储在localstorage或者cookie。
在这里插入图片描述

方案:存cookie比较好。
localstorage有xss风险 ,cookie有csrf 和xss风险。
这里存cookie,不是普通的cookie直接与服务器交互。后端不通过cookie取值,前端请求时从cookie取出来 放到请求头里 可以避免csrf。
并对cookie设置httponly 减少xss攻击。

前后端都可以做一些措施防止xss攻击。
xss和csrf详解:https://www.cnblogs.com/itsuibi/p/10752868.html

JavaMa-
关注
专栏目录
10 使用Vue+axios+Vuex实现登录后前端数据本地化存储实战
xingyu_qie的专栏
04-03 7772
本文重点讲述Vuex的实战使用
从微信授权登录到数据安全性思考总结
null_从0到1的博客
04-12 1761
前置知识:微信授权登录过程和相关名词,access_token、code、openid等; 微信授权登录,大都是拉起微信授权页面,用户同意授权后,再跳到自己应用的绑定手机页面进行绑定手机的操作,绑定之后自动登录,会话就像不会过期一样,或者是过期以后再次点一次授权按钮即可。不用像以前一样,每次都用密码或验证码登录,让用户再做繁琐的登录操作。 如图,第一次微信授权还好,因为没有绑定,所以需要手机验证...
使用Python爬取一个网页的全部域名
林长有的博客
04-14 2650
''' 使用Python爬取一个网页的全部域名 ''' #coding:utf-8 import requests import re from lxml import etree from urllib.parse import urlparse domains = set() # 域名去重列表,默认为空 # 方法一:使用正则匹配 domain = 'https://www.baidu....
关于前后端分离项目的 VueJS前端Token 存储问题,如何做更安全
QC班长的博客
10-15 5839
关于Vue前端token的存储问题: Vuex的store,localStorage,sessionStorage三者都可以存 记录登录状态一般都是token,例如:存在token说明已经登录,不存在就没登录->跳转登录页面 每一次请求都携带token在后台验证,如果token合法,没过期则返回请求的数据,否则返回token错误/过期等状态码。 至于浏览器开发调试手动改 你阻止不了其他...
前端面试题-token的存放位置
m0_62300955的博客
06-27 879
前端面试题:token
session和token认证方式,cookie和localStorage存储,Web安全 ——总结
fkcaikengren
03-20 2498
session和token认证方式,cookie和localStorage存储,Web安全 ——总结 目录 1.web服务的安全问题 1.1 XSS 1.2 CSRF 1.3 同源策略 1.4 跨域访问 2.认证方式 2.1 token和session,两种认证方式 2.2 存token的解决方案 1.web服务的安全问题 1.1 XSS Cross Site Scripting, 简称XSS (跨站脚本攻击)。 参考:百度百科 解释: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入
前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 4220
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用得到了广泛应用。
前端安全 -- 关于token
Knight__D
12-04 496
关于token 关于token的相关知识还有很多,知识从前端角度去理解一下token,简单记录下,以后有机会学习更多的话再补充 token可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) Token 可以是无状态的,可以在多个服务间共享 token原理 1.将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。 2.将形成的密文用句号链
安全角度浅谈cookie、session、token
Packet_Lee的博客
04-14 1014
前言: 为什么要研究cookie、session和token呢? 我当前已经学习完了sql注入和部分xss攻击,其都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
Token
weixin_45517802的博客
02-08 1095
76
2022最新前端vue面试题
Ajekseg的博客
08-01 525
让利用事件冒泡的原理,让自己的所触发的事件,让他的父元素代替执行!答实例对象会先查找自身有没有所需成员,如果没有就会通过proto向构造函数的prototype查找如果还是没有,又会通过构造函数的prototype的proto去找到object的prototype,还是没有找到就会通过object的prototype的proto找到null像这样用proto一层层往上查找的方式,称为原型链答答答同源就是两个页面有相同的协议域名端口就属于同源其只要一个不同就不同源。...
Token设计思路与思考,前后端分离下的接口安全
fyonecon
01-09 1362
需要Token的现实背景: 1. 前、后端分离,项目采用MVVM模式; 2. 更安全的用户信息状态; 3. 为了淘汰MVC。 设计思路: 1. 是否存在不同设备同时在线登录,会不会挤下去某个token登录状态; 2. Token过期时间; 3. 用Token代替密码,token使用 base64(时间戳+设备+不对称随机密钥)加密方式,将用户传来的token与数据库记录的token对...
Python爬取顶级域名(根域名)数据
kngines
02-27 2972
主框架 场景描述 数据分析/挖掘过程,某些场景利用 根域名数据 进行数据筛选 。 在利用 Python 处理本地文件。 顶级域名数据获取方式 方式 1 Python 2 urllib2.urlopen() 方法 import pandas as pd import urllib2 from bs4 import BeautifulSoup url='h...
python获取顶级域名的方法
水钻
04-12 3354
#获取顶级域名 #不可以存在http:// def TopLeverDomain(domain): DomainSuffix = {'info': None, 'coop': None, 'mil': None, 'int': None, 'xxx': None, 'pro': None, 'aero': None, 'idv': None, 'biz': None, 'edu':
利用python Scrapy框架爬取获取全国五级地址
最新发布
yuanzong_student的博客
08-27 973
先说思路:这是个五级结构的网页,我是一级一级用response.urljoin来构建下一级的url地址,然后通过yield scrapy.Request()来传给下一级的函数处理,得到一个省就把一整个省的一到五级的内容全部爬取出来下载。
python提取url的顶级域名及域名后缀
weixin_43343144的博客
07-06 449
参数:http://www.python66.com/bbs/243.html tld库:https://pypi.org/project/tld/
前端安全】cookie和token都存放在header,为什么不会劫持token
热门推荐
'Ablaze 的专栏
08-05 1万+
token不是为了防止XSS的,而是为了防止CSRF的; CSRF攻击的原因是浏览器会自动带上cookie,而不会带上token; 以CSRF攻击为例: cookie:用户点击了链接,cookie未失效,导致发起请求后后端以为是用户正常操作,于是进行扣款操作; token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作; ...
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1509
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
token存在localstorage还是sessionstorage?
qq_59068526的博客
10-16 513
token存在localstorage还是sessionstorage?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值