PHP开发安全问题之Cookie 安全问题

已于 2024-01-16 14:59:14 修改
阅读量1k 收藏 21
点赞数 29
文章标签: 网络 服务器 运维 php 安全 数据库
于 2024-01-16 13:29:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52345129/article/details/135622463
版权
本文探讨了Cookie在浏览器中的作用,包括会话管理和用户信息存储。重点介绍了CSRF和XSS攻击威胁,以及如何通过HttpOnly、Secure和IP绑定等方法保护Cookie信息安全。最后提到乐述云享提供的PHP开发安全建议。
摘要由CSDN通过智能技术生成

在浏览器中,Cookie 是服务器让浏览器帮忙携带信息的手段,就像饼干里的纸条,浏览器会储存它,并且在后续的 HTTP 请求中再次发送给服务器。

我们可以通过浏览器的开发者工具,在Application页面中查看浏览器存储的Cookies信息。

通常我们会在Cookies中记录:

  • 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)

  • 个性化设置(如用户自定义设置、主题等)

  • 浏览器行为跟踪(如跟踪分析用户行为等)

以上这些数据不可能通过链接参数进行传递,因此 Cookies 就是一个很好的容器。

那Cookies又会发生什么安全问题呢?

01 CSRF 攻击

CSRF:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品),也可以这么理解:使已登陆用户在不知情的情况下执行某种动作的攻击手段。

举个例子,一家银行用以运行转账操作的 URL 如下:

http://www.examplebank.com/w

最低0.47元/天 解锁文章
one行feng
关注
专栏目录
php document.cookie,PHP cookie缺少secure属性解决方案
weixin_39595487的博客
03-12 1304
0x01 cookie 安全基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5289
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
php.ini session file,php.ini设置会话cookie安全(php.ini set session cookie secure)
weixin_30674575的博客
03-10 387
I have read some security post on session. Although I configure most of it in php.ini in my shared host, some I can't.1) I cannot find session.cookie_secure and session.cookie_httponly in my php.ini, ...
PHP session.cookie_secure 的作用
weixin_33991418的博客
07-27 1482
为什么80%的码农都做不了架构师?>>> ...
php cookie httponly,Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性设置方法
weixin_36296064的博客
03-09 1317
吐槽的话就不说了,没什么意义,今天上午接到当地网安给我的 Web 应用安全评估报告,给泪雪网强行找出了几个低危漏洞要求处理,这种两个问题就是说会话 Cookie 中缺少 HTTPSOnly 属性,还有一个就是 Secure 属性,另外两个就是 robots.txt 和网站地图 sitemap,既然强行说我有漏洞,那就积极响应整改修复,毕竟在子凡眼里是不容这种低级错误发生的。由于我们泪雪网使用 PH...
PHP系列」PHP Cookie/Session详解
最新发布
日常笔记/总结/系列知识梳理
04-23 1588
PHP中,Session是一种用于跟踪用户会话状态的机制。与Cookie不同,Session数据存储在服务器上,而不是在客户端的浏览器中。每个客户端(用户)在访问服务器时都会被分配一个唯一的会话ID,该ID通常通过Cookie发送到客户端,并在后续的请求中返回给服务器,以便服务器能够识别并恢复该用户的会话数据。在PHP中,Cookie是一种用于在浏览器和服务器之间传递信息的机制。它通常用于跟踪用户的会话状态、存储用户的偏好设置或实现其他需要跨请求保持状态的功能。
PHP开发需要注意的安全问题
10-28
PHP开发过程中需要关注的安全问题主要涉及对数据的信任度、PHP配置的安全性、代码的可理解性等几个方面。以下将详细解析这些知识点: 1. 不信任外部数据或输入:这是Web应用安全的核心原则之一。在PHP开发中,不应...
计算机后端-PHP视频教程. php之blog实战51-cookie安全.wmv
05-22
计算机后端-PHP视频教程. php之blog实战51-cookie安全.wmv
php session安全问题分析
10-28
通过上述的分析与代码示例,我们了解到PHP Session虽然给Web开发带来了便利,但其安全问题不可忽视。开发者需要采取多种措施来防范Session安全问题,保护网站和用户的数据安全。这些措施包括使用HTTPS、设置Session...
PHP 中的 Cookie 和会话:PHP Cookie
新华编程特战队
04-16 975
Cookie是由 Web 服务器存储在用户计算机上的小型文本文件。在PHP中,cookie可用于存储和检索有关用户与网站交互的信息。通过设置cookie服务器可以记住用户的偏好并跟踪他们的活动。PHP 提供了 setcookie() 等函数来创建 cookie 和 $_COOKIE superglobal 数组来访问其值。Cookie 可用于各种目的,例如会话管理、个性化和跟踪。PHP 中的 Cookie是在客户端存储和检索小块数据的基本机制。
php cookie安全,关于php:使用登录Cookie的相对安全的方法是什么?
weixin_29378975的博客
03-11 223
我想知道Cookie登录的最安全方式是什么?如果您仅将通行证(用salt加密)和用户名存储在cookie中并针对用户表进行验证,潜在的攻击者可以窃取Cookie并登录。人们通常不会在"最后一次上网"时查看该信息。那么"记住我的cookie"是否有更好的方法?IP不是一个很好的选择,是吗? (某些机器一直在更改IP)。请告诉我们有关您的应用程序将使用此功能的信息。 假冒/身份盗窃的潜在影响是什么?大...
PHP7语言基础——Cookie与Session
上善若水
03-21 1310
文章目录Cookie详解基本概念和设置Cookie的应用和存储机制删除CookieSession详解会话管理创建会话PHP中的session工作机制PHP中的Session存储机制注销和注销会话变量扩展——使用Redis存储Session HTTP协议是无状态协议,对于事物处理没有记忆能力。缺少状态意味着后续处理需要前面的信息,就必须重新传送数据,这样可能导致每次连接传送的数据量逐渐增大。为了弥补...
php 解决Chrome Cookie 的 SameSite 属性导致无法写入cookie问题
JineD的博客
06-10 5406
今天在做前后端分离项目的时候遇到了这样一个问题。 设置了与跨站点资源http://www.****.com/关联的cookie,但没有设置' SameSite '属性。在未来的Chrome版本中,只有当跨站请求设置为“SameSite=None”和“Secure”时,才会发送cookie。您可以在应用程序>存储> cookies下查看开发工具中的cookie,并在https://www.chromestatus.com/feature/5088147346030592和https://www.c
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞处理
u010457180的博客
04-21 2156
PHP Apache 检测到会话cookie中缺少HttpOnly/Secure属性漏洞 通过修改PHP配置文件或PHP文件解决此漏洞
PHP - Laravel 设置 cookie
卡尔特斯
03-04 2165
一、简介 cookie 常用于识别用户。cookie 是一种服务器留在用户计算机上的小文件。每当同一台计算机通过浏览器请求页面时,这台计算机将会发送 cookie。通过 PHP,能够创建并取回 cookie 的值。 Laravel 框架为了安全,它的 cookie 是加密的。 二、cookie() 属性参数分析 cookie($name, $value, $minutes, $path, $domain, $secure, $httpOnly, $sameSite); 参数 说明
浅析cookiesecure篇
a7442358的专栏
12-21 1429
浅析cookiesecure篇
具有不安全、不正确或缺少SameSite属性的Cookie
热门推荐
Bird&Bird
02-22 2万+
目录1、概述2、分析2.1、Samesite属性是个啥?2.2、Strict2.3、Lax2.4、None 1、概述 最近,用APPSCAN对网站进行扫描,结果报了一个“具有不安全、不正确或缺少SameSite属性的Cookie”的漏洞。 2、分析 2.1、Samesite属性是个啥? 为了从源头上解决CSRF(跨站请求伪造)攻击,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cooki
PHP开发:坚守的安全规则与数据验证
"这篇文章主要探讨了PHP开发中的关键安全规则,强调了不应信任任何外部数据,因为它们可能带来潜在的安全风险。外部数据包括通过GET、POST、数据库、配置文件、会话变量或cookie等方式获取的数据。文章通过示例介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

one行feng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值