cookie XSS跨站脚本攻击 localStorage sessionStorage

最新推荐文章于 2023-07-24 20:50:04 发布
最新推荐文章于 2023-07-24 20:50:04 发布
阅读量867 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45348067/article/details/104302955
版权

cookie

1、根据域名和路径进行存储
2、只能存储文本信息
3、只存储在指定的位置,不能随意改变位置
4、cookie后来都做了加密隐藏处理,现在无法直接找到cookie文件内容
5、cookie只能做临时存储,如果关闭浏览器,数据将会丢失

在cookie使用中,主要用于前后端不分离,如果前后端分离,使用AJAX发送时是不同的前后端不分离时,cookie会被自动携带发送到服务端,前后端不分离通信时,cookie会随着访问自动往返发送cookie内容不能存储太多,如果是ajax发送,cookie就不会自动携带发送

document.cookie="user=lu";
document.cookie="age=30";
document.cookie="sex=man";
console.log(document.cookie);
lu
//设置cookie的生存期
var date=new Date();
date.setHours(date.getHours() + (24 * 30)); //保存30天
document.cookie="user=lu;expires="+date.toUTCString();

XSS跨站脚本攻击

XSS 实现
1、必须允许用户输入文本内容的情况,并且将这个输入的文本内容可以发送到服务器
2、服务器必须存储了这个发过来文本内容,并且将这个文本内容展示在页面中
3、这个文本内容必然包括了script脚本,在用户打开页面时这段script被执行
可以将当前用的cookie盗取后发送到指定的服务器存储

当在输入框中写入 后,点击提交,页面会执行提交的 script 脚本,这样就可以获取到当前用户页面中存储的 cookie了。
如果解决这类问题

    1、文本内容提交前将script用正则去提取出来转义(替换为任何其他非脚本文字)然后在发送给服务器
    2、服务器在返回客户端存储的时候生产页面需要做判断处理查看是否有XSS攻击,然后做转义处理
    3、还需要判断所有提交标签中href中是否含有JavaScript内容,也要做转义

WebStorage

WebStorage 分为localStorage(本地存储)和sessionStorage(会话存储);

localStorage: 本地存储,用于持久化的本地存储,除非主动删除数据,否则数据是永远不会过期的;
sessionStorage:会话存储,用于本地存储一个会话 (session)中的数据,这些数据当在关闭浏览器后数据也随之销毁;
localstorage 在不同的浏览器下,是不互通的;
sessionStorage 在不同窗口、不同标签页是不互通的;
localStorage 和 sessionStorage的操作语法相同。

给 window 监听 storage 事件,可以用来不同页面间的通信,可以获取到 storage 现在的值和过去的值:

//创建localStorage
localStorage.user="xiaoming";
localStorage["user"]="xiaoming";
localStorage.setItem("user","xiaoming");

//获取localStorage
console.log(localStorage.user);
console.log(localStorage["user"]);
console.log(localStorage.getItem("user"));

//删除localStorage
delete localStorage.user;
localStorage.removeItem("user");

//清除所有localStorage存储
localStorage.clear();

localStorage、sessionStorage与cookie的区别

cookie数据始终在同源的http请求中携带(即使不需要),即cookie在浏览器和服务器间来回传递。而sessionStorage和localStorage不会自动把数据发给服务器,仅在本地保存。
cookie数据有路径(path)的概念,可以限制cookie只属于某个路径下,而localStorage和sessionStorage不区分目录。
存储大小限制也不同,cookie数据不能超过4k,同时因为每次http请求都会携带cookie,所以cookie只适合保存很小的数据,如会话标识。sessionStorage和localStorage 虽然也有存储大小的限制,但比cookie大得多,可以达到5M或更大。
数据有效期不同,sessionStorage:仅在当前浏览器窗口关闭前有效;localStorage:始终有效,窗口或浏览器关闭也一直保存,因此用作持久数据;cookie只在设置的cookie过期时间之前一直有效,如果不设置过期时间,则当浏览器关闭时自动销毁,。
作用域不同,sessionStorage不在不同的浏览器窗口中共享,即使是同一个页面;localStorage 在所有同源窗口中都是共享的;cookie也是在所有同源窗口中都是共享的。
WebStorage 支持事件通知机制,可以将数据更新的通知发送给监听者。
WebStorage 的 api 接口使用更方便。

不会说话的爱情
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
day23 - Cookie、本地存储localStorage以及XSS攻击
weixin_45274291的博客
07-17 921
一、Cookie 1.概念: Cookie是浏览器提供的一个存储数据的空间。 Cookie又叫会话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。 比如:自动登录、记住用户名,记住一些和用户相关的信息等。 2.特点: 1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取 2. cookie是有时效性的,默认是会话级别,浏览器关闭就失效 3. cookie分路径的,
关于localStorage存储、读取、清除数据以及与sessionStorage的区别问题
upStar1的博客
02-21 4553
1.localStorage存储 window.localStorage.setItem('key',value) 但有时value为一个对象Object,以上面的方式写入,会出现读取的返回值为{object Object}的情况,但这并不是我们想要的,此时我们需要使用JSON.stringify(Object)方法将对象转化为一个json格式的字符串进行存储 window.localStorage.setItem('param',JSON.stringify(Object)) 例: loc
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2811
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就会从 cookie 中取回密码。 cookie可...
HTML5 localStorageXSS漏洞
笑花大王
02-13 1159
localStorage基础 WindowlocalStorage属性 HTML5 提供了两种新的本地存储方案,sessionStoragelocalStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。 它们同样遵循SOP 语法: wi...
【网络安全】XSSCookie外带攻击姿势及例题详析
等风来
05-19 7100
XSSCookie 外带攻击就是一种针对 Web 应用程序中的 XSS跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
safari,opera嵌入iframe页面cookie读取问题解决方法
09-05
这个问题主要源于浏览器对第三方cookie的严格限制,它们旨在保护用户的隐私,防止跨站点脚本攻击(XSS)。 Safari和Opera等浏览器遵循一种称为“同源策略”的安全机制,它限制了不同源之间的交互,包括读取cookie。...
JavaScript cookie原理及使用实例
11-21
1. **XSS攻击**:跨站脚本攻击XSS)是利用网页中的漏洞,注入恶意脚本到页面中执行。攻击者可能通过获取Cookie来假冒用户身份。防范方法包括过滤和转义用户输入,避免在页面中直接显示Cookie内容。 2. **CSRF攻击*...
JS中cookie的使用及缺点讲解
12-09
此外,由于Cookie存储在客户端,安全性较低,容易受到XSS跨站脚本攻击)的影响。最后,Cookie只能在设置它的域名下使用,无法跨域共享。 因此,在需要大量数据存储或者安全要求较高的情况下,通常会使用...
好好了解一下Cookie(强烈推荐)
09-02
然而,需要注意的是,尽管Cookie提供了状态管理的能力,但也存在一些局限性,如存储容量有限(通常约4KB)、可能引发跨站脚本攻击XSS)和跨站请求伪造(CSRF)等安全问题。因此,对于大量或敏感的数据,开发者通常...
详解HTTP Cookie状态管理机制
10-22
在现代Web开发中,Cookie仍然是最常用的会话管理手段,尽管存在跨站请求伪造(CSRF)和跨站脚本(XSS)等安全风险。为了提升安全性,现在也出现了其他技术,如HTTP-only Cookies(防止JavaScript访问)、SameSite ...
XSS攻击——cookie
qq_46277212的博客
06-23 1887
cookie概述 cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。 当用户访问web页面时,用户名可以记录在cookie中。 在用户下一次访问该页面时,可以在cookie中读取用户访问记录。 cookie以键值对形式存储。如 username=baixiaomao; 当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
XSS的键盘记录和cookie获取
Williamanddog的博客
01-26 1671
跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入Web里面的JS代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的 攻击。 在一个Web页面上,有一种很常见的功能是将用户输入的内容输出到页面上。但是如果这里输入的内容 。
网络安全学习笔记——盗取Cookies跨站脚本(XSS
最新发布
just do it
07-24 1373
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
--=
05-11 983
cookie基本内容介绍和xss攻击介绍已经解决xss攻击的方法
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7093
XSS利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
渗透测试之XSS漏洞:记一次模拟注入攻击
遇事不决 可问春风
09-18 2974
XSS(cross-site script)跨站脚本攻击是一种web应用程序前端漏洞。攻击者将代码注入,用户在使用时由浏览器对漏洞代码进行解析,从而达到恶意攻击用户的特殊目的。
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 393
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStoragelocalStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
基于localStorage的本地存储XSS
9ian1i
02-16 4851
0x00 什么是localStorageHTML5 提供了两种新的本地存储方案,sessionStoragelocalStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP。0x01 什么是基于localStorageXSS现在越
XSS跨站脚本攻击详解与防御策略
"该资源主要介绍了XSS跨站脚本攻击的相关知识,包括攻击的定义、类型、漏洞挖掘以及防范措施。此外,还探讨了Web安全的三个主要目标:保护Web服务器及其数据的安全、保护信息传递的安全以及保护终端用户设备的安全。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值