day23 - Cookie、本地存储localStorage以及XSS攻击

最新推荐文章于 2023-01-15 10:00:00 发布
最新推荐文章于 2023-01-15 10:00:00 发布
阅读量856 收藏
点赞数 2
文章标签: javascript css html5 es6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45274291/article/details/107400042
版权

一、Cookie

1.概念:

Cookie是浏览器提供的一个存储数据的空间。
Cookie又叫会话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。
比如:自动登录、记住用户名,记住一些和用户相关的信息等。

2.特点:

1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取
2. cookie是有时效性的,默认是会话级别,浏览器关闭就失效
3. cookie分路径的,当前路径下设置的cookie只能在当前路径下使用
4. 储存在浏览器上,不是特别安全 - 不要存储重要数据
5. cookie在浏览器上存储的大小是有限制的 - 通常大小在4kb之内,数量150条左右
6. 禁用cookie后,无法正常注册登录
7. cookie是与浏览器相关的,不同浏览器之间所保存的cookie也是不能互相访问的;
8. cookie可以被删除。因为每个cookie都是硬盘上的一个文件;
9. cookie安全性不够高-xss攻击

3.cookie的操作:

(1)存储cookie:

①给document的cookie属性进行赋值
    document.cookie = '键=值';
    cookie存储是按照键值对的形式存储的;键值相同会覆盖。
    这个数据要是一直存在在浏览器中的话,浏览器的内存会崩溃,所以cookie也会有消失的时候。会话级别(Session) - 浏览器关闭的时候就失效了。
    cookie可以在当前页面设置,别的页面访问,可以跨文件访问的 - 因为存储在同一个浏览器上。
    
②设置cookie的有效期
    document.cookie = '键=值;expires=失效时间';
    cookie识别的时间是格林威治时间,而我们获取到的时间是东8区的时间,所以需要减去8个小时,才是当前时间。
    cookie有路径的限制:在当前文件中设置的cookie,在当前文件夹中可以使用,在别的文件夹中无法使用。
    
③设置cookie的时候可以设置路径
    document.cookie = '键=值;expires=失效时间;path=/';
    这里的"/"在服务器中代表根目录

(2)获取cookie:

document.cookie
    cookie如果不存在,输出undefined
    cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取。

(3)删除cookie

就是将cookie的有效期设置到上一秒
var date = new Date(+new Date()-1000*60*60*8-1); // 当前时间的上一秒
document.cookie = 'name=zhangsan;expires='+date;

4.cookie的封装:

let cookie = {
    get: function (key) {
        //先获取所有cookie;通过;将所有cookie分割
        let arr = decodeURIComponent(document.cookie).split('; ');
        for (let i = 0; i < arr.length; i++) {
            let brr = arr[i].split('=');//通过 = 分割每一个元素
            if (key === brr[0]) {
                return brr[1];
            }
        }
    },
    set: function (key, value, days,path='/') {
        let d = new Date();
        d.setDate(d.getDate() + days)
        document.cookie = `${key}=${encodeURIComponent(value)};expires=${d};path=${path}`;
    },
    unset: function (key) {
        this.set(key, null, -1)
    }
}

二、localStorage

1.概念:

在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器中localStorage会有所不同。

2.localStorage的特点:

  1. localStorage拓展了cookie的4K限制(5M),永久存储,除非手动删除。
  2. localStorage会将第一次请求的数据直接存储到本地,这个相当于一个5M大小的针对于前端页面的数据库,但只有在高版本的浏览器中才支持的。
  3. 目前所有的浏览器中都会把localStorage的值类型限定为string类型,这个在对我们日常比较常见的JSON对象类型需要一些转换。
  4. localStorage本质上是对字符串的读取,如果存储内容多的话会消耗内存空间,会导致页面变卡。
  5. 不同的浏览器本地存储不能相互进行访问。
  6. sessionstorage会话结束就消失。

3.localStorage的操作:

1.localStorage存储:
//点操作符存储
    window.localStorage.name = 'zhangsan';
//中括号方式存储[]
    window.localStorage['name'] = 'zhangsan';
//利用内置的方法存储
    window.localStorage.setItem('sex', '男');
    
2.localStorage获取
    localStorage.name;
    localStorage['age'];
    localStorage.getItem('objdata');
    
3.localStorage删除
    localStorage.removeItem('name');
    localStorage.clear();//删除所有

4.cookie,locastorage,sessionstorage的区别:

locastorage,sessionstorage是html5新增的。
cookie的4K存储空间;localStorage拓展成了5M,
locastorage是永久存储,除非手动删除。
cookie可以自由设定过期时间;locastorage需要手动删除。
cookie需要服务器。

三、XSS攻击

XSS(Cross Site Script)攻击 全称 跨站脚本攻击。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。

总结:输入过滤、输出转义。
小王遨游到太空
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cypress-localstorage-commands:使用localStorage方法扩展Cypress的cy命令。 允许在两次测试之间保留localStorage
02-06
赛普拉斯localStorage命令 用localStorage方法扩展Cypress的cy命令。 允许在测试之间保留localStorage并禁用localStorage。 问题所在 您想在赛普拉斯测试之间保留localStorage。 您要禁用localStorage来检查错误处理。 这个解决方案 该解决方案允许您通过赛普拉斯命令使用所有浏览器的localStorage方法,并在测试之间保留它。 它还允许模拟在浏览器中禁用localStorage。 安装 该模块是通过与节点捆绑在一起的npm分发的,应该作为项目的devDependencies之一安装: npm i --save-dev
基于localStorage本地存储XSS
9ian1i
02-16 4810
0x00 什么是localStorageHTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP。0x01 什么是基于localStorageXSS现在越
使用localStorage替代cookie本地存储
10-16
主要为大家详细介绍了使用localStorage替代cookie本地存储,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
nuxt-vuex-localstorage
05-05
nuxt-vuex-本地存储 通过连接Vuex和Web存储,可以更有效地利用本地存储和会话存储。 与其他持久性插件不同,通过仅分配Vuex的某些特定对象,Web存储可以节省更多空间,并且还可以与现有Vuex用法一起使用。 通过本地存储的数据绑定可以在多个浏览器选项卡中轻松管理。 它具有强大的数据加密功能,因此可提供各种Web存储安全系统。 它提供Web存储不支持的“ expire”功能。 对于某些不支持Web存储的环境,它支持“ cookie模式”,例如“ Safari私有模式”。 它在电子中效果很好! 自述翻译 링크: : 例子 安装 npm i nuxt-vuex-localstorage 默认(自动)模式 最基本的步骤,其中本地存储被自动加密。 // nuxt.config.js module . exports = { modules : [ 'nuxt
本地存储localStorage用法详解
12-09
一、什么是localStorage? 在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,解决了cookie存储空间不足的问题(cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器中localStorage会有所不同。 二、localStorage的优势与局限 localStorage的优势 1、localStorage拓展了cookie的4K限制 2、localStorage会可以将第一次请求的数据直接存储到本地,这个相当于一个5M大小的针对于前端页面的数据库,相比于cook
HTML5 localStorageXSS漏洞
笑花大王
02-13 1120
localStorage基础 WindowlocalStorage属性 HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。 它们同样遵循SOP 语法: wi...
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2734
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码。 cookie可...
cookie XSS跨站脚本攻击 localStorage sessionStorage
weixin_45348067的博客
02-13 839
cookie 1、根据域名和路径进行存储 2、只能存储文本信息 3、只存储在指定的位置,不能随意改变位置 4、cookie后来都做了加密隐藏处理,现在无法直接找到cookie文件内容 5、cookie只能做临时存储,如果关闭浏览器,数据将会丢失 在cookie使用中,主要用于前后端不分离,如果前后端分离,使用AJAX发送时是不同的前后端不分离时,cookie会被自动携带发送到服务端,前后端不分离通...
XSS攻击原理&解决方法
AndreMao的博客
11-04 676
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 攻击的条件 实施XSS攻击需要具备两个条件: 需要向web页面注入恶意代码; 这些恶意代码能够被浏览器成功的执
存储型XSS简介
热门推荐
seek_2022的博客
05-05 1万+
文章目录一、存储型XSS简介(一)存储型XSS的概念(二)存储型XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储型XSS简介 (一)存储型XSS的概念 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
jQuery访问浏览器本地存储cookielocalStorage和sessionStorage的基本用法
10-19
cookielocalStorage和sessionStorage都是浏览器本地存储数据的地方,其用法不尽相同,今天小编通过本文给大家分享jQuery访问浏览器本地存储cookielocalStorage和sessionStorage的基本用法,需要的朋友参考下吧
Java 网络安全
编程开发相关技术学习
12-09 1306
DES算法是一种对称密码体制加密算法,为密码体制中的对称密码体制,其 明文按64位进行分组,密钥长64位,密钥是以56位参与DES运算,且第8、16、24、32、40、48、56、64位是校验位,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。:RSA算法是一种使用不同的加密密钥与解密密钥,是由已知加密密钥推导出解密密钥在计算上是不可行的密码体制,其原理是根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
存储型XSS攻击的解决方法
weixin_43901818的博客
08-21 1万+
为了避免存储型XSS攻击,建议采用以下方式进行防御 1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、以及<script>、javascript等进行过滤)。 2.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在java EE中,给Cookie添加HttpOnly代码: response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domai
Web前端安全系列之:XSS攻防
qq_44005305的博客
01-15 844
Web 攻击技术的发展也可以分为几个阶段。在 Web 1.0 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--XSS(跨站脚本攻击)。伴随着 Web 2.0 的兴起,XSS、CSRF 等攻击已经变得更为强大。
cookie、session、token
abuanden的博客
03-26 399
一、常见验证方式 cookie:客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数 X-XSRF-TOKEN。(推荐,不需要处理 xss,并且xsrf 随机数有完善的应用机制) 自定义请求头token:客户端使用 auth授权头认证,token存储在 cookie中。这样可以防止 csrf攻击,但是需要防止xss攻击。,因为 csrf只能在请求中携带 cookie,而这里必须从 cookie中拿出相应的值并放到
安全的cookie和token机制
kekefen01的博客
12-16 1355
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
前后端分离经典处理方案总结-再也不用担心跨域认证不会做了
alian
04-25 3689
1.前后端不分离的场景 经典的Cookie和Session,前端访问服务器,从服务器拿到sessionId并记录在本地的Cookie中,下次访问带上sessionId,服务器就能表示是哪个用户进行访问了。 2.前后端进行分离 方法一(登录信息存在服务器中,前端存在Cookie中) cookie和session方法,但是要服务器和前端设置允许跨域携带cookie,服务器可以完成用户验证。但是会存在CSRF攻击的风险,黑客用错误连接欺骗用户访问服务器,欺骗连接会自动带上用户的Cookie通过验证就会造
关于Token 验证与存储 xss csrf 攻击防御措施
qq_36760953的博客
03-04 3058
关于Token 验证与存储 xss csrf 攻击防御措施 1.如果只存入cookie会被xss攻击劫持,并发动csrf攻击,但可以设置cookie的HTTPOnly属性,不被浏览器获取到cookie,但也不能完全保证不被xss劫持。 2.同时存入cookie和session,session中的token放入表单的隐藏域中,传到后台与cookie中的进行判断,但是使用session会被黑...
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 381
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
本地存储localStorage
最新发布
09-05
localStorage是一种在浏览器中存储数据的方法。它可以将数据永久性地保存在用户的本地设备上,即使用户退出浏览器或重新加载页面。与sessionStorage不同,localStorage的数据不会被清除。可以通过localStorage对象来访问和操作存储的数据。 它提供了一个简单的键值对存储机制,可以用来保存字符串形式的数据。使用localStorage的方法包括存储数据和读取数据两个过程。在存储数据时,可以使用localStorage.setItem()方法,并传入键和值作为参数。而在读取数据时,可以使用localStorage.getItem()方法,并传入键来获取对应的值。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [本地存储方法之localStorage存储的使用](https://blog.csdn.net/SuBaijiu/article/details/127993338)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值