浅谈cookie安全

最新推荐文章于 2023-12-29 14:27:25 发布
VIP文章 最新推荐文章于 2023-12-29 14:27:25 发布
阅读量2.4k 收藏 5
点赞数 5
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuguojiuai/article/details/115395698
版权

目录

 

0x01 简介

0x02 cookie的简单工作原理:

0x03 风险

0x04 COOKIE防护

0x05 总结

0x01 简介

1. cookie简述

由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端中也可以通过脚本语言如:JavaScript对其进行同样的操作。

2. cookie的组成结构

Cookie的字段一般分为:

[name] [value] [path] [domain] [expires] [secure] [httponly]
键 值 路径 所属域 过期时间 secure flag httponly flag

其中name=value是必选项,其它都是可选项

name: 一个唯一确定的cookie名称。通常来讲cookie的名称是不区分大小写的。

value: 存储在cookie中的字符串值。最好为cookie的name和value进行url编码

path: 表示这个cookie影响到的路径,浏览器跟会根据这项配置,像指定域中匹配的路径发送cookie。

domain: cookie对于哪个域是有效的。所有向该域发送的请求中都会包含这个cookie信息。这个值可以包含子域(如:http://yq.aliyun.com),也可以不包含它(如:.http://aliyun.com,则对于http://aliyun.com的所有子域都有效).

expires:

最低0.47元/天 解锁文章
小韩韩啊
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
COOKIE和SESSION区别
10-23
在PHP面试中经常碰到请阐述session与cookie的区别与联系,以及如何修改两者的有效时间。具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
“黑客”入门学习之“Cookie技术详解”
Y525698136的博客
06-10 1372
今天就以本篇文章详细给大家介绍一下Cookie是什么?Cookie基本原理与实现?Cookie到底存在哪些安全隐患,我们该如何防御,有没有其他技术替代方案?
WEB安全Cookie安全策略
MayMatrix 的博客
06-30 740
而解决的方法就是,在设置用户 id 的同时,再设置一个根据用户 id 生成的一个 token。虽然有这个方法,但是我经手的项目中却没有一个是使用这样的方法,因为这里对于服务器来说面有一个性能的问题,如果用户体量很大,那服务器就需要存储大量的 id 数据,而且,用户如果同时在多个地方登录,那是不是又要再做不同的判断处理。路径的参数是 Path,这里的意思是指定的某个路径这个 cookie 才能使用,这里的一般直接就是设置成 \ ,当前目录下都可使用,因为只要是当前域下的,其实都可以使用。
Cookie安全性分析
qq_37158580的博客
04-22 4859
cookie安全性 摘要 HTTP State Management Mechanism(HTTP状态管理机制)一文中,定义了HTTP Cookie和Set-Cookie头字段。HTTP服务器利用这种头字段,在HTTP用户代理(浏览器)中存储当前状态,使得在大多数无状态的HTTP协议下,服务器可以维持一个有状态的回话。虽然,在安全性和隐私性上,cookie有许多历史性的不合理处,但是...
总结Cookie安全安全风险和防范建议
Neonline254的博客
05-23 2554
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
关于Cookie
qq_44718980的博客
05-28 625
Cookie是储存在用户本地终端上的数据,是一个文件,可以叫做浏览器缓存。 Cookie的优点:cookie机制将信息存储于用户硬盘,因此可以作为跨页面全局变量 Cookie的缺点: 1. Cookie被附加在HTTP消息中,无形中增加了数据流量。 2. Cookie在HTTP消息中是明文传输的,所以安全性不高,容易被窃取。 3. Cookie存储于浏览器,可以被篡改,服务器接收后必须先验证数据的...
Cookie的生命周期问题
09-01
下面小编就为大家带来一篇Cookie的生命周期问题。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie 和session 的区别
09-02
下面小编就为大家带来一篇cookie 和session 的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP Cookie处理函数
10-22
下面小编就为大家带来一篇PHP Cookie处理函数。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
如何保障Cookie的信息安全
最新发布
Reische的博客
12-29 886
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器中,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求中扩大 Cookie 的处理策略。
cookie安全
qq_43936524的博客
05-16 525
文章目录cookie概述cookie的储存cookie的属性cookie安全问题httponly无session验证cookie覆盖攻击 cookie概述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。 cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求中加上cook
计算机网络day15 HTTP协议 - 工作原理 - URI - 状态码 - nginx实现HTTP和HTTPS协议 - 连接方式和有无状态 - Cookie和Session和token - 报文结构
lpfstudy的博客
07-30 557
什么是token - 简书 (jianshu.com)Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
Cookie 安全
allway2的博客
09-05 1780
攻击者将会话标识符强制输入目标用户的浏览器,然后等待用户登录。出于本文的目的,请注意计时攻击是可能的,因为浏览器在跨站点请求中包含会话 cookie。在本文中,您将了解有关 HTTP cookie 安全性、什么是与 cookie 相关的攻击以及如何防御它们的所有信息。在 http:// 或 ws:// 请求中包含使用属性设置的 cookie,只有 https:// 和 ws://。请注意会话 cookie 是如何通过未加密的连接传输的,该会话 cookie 仅应在 HTTPS 页面上使用。
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9309
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
cookie安全
天高任鸟飞,海阔凭鱼跃
03-17 2111
什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)。(注:此定义来自百度百科) cookie对于登录的效果 排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期 创建cookie的时候,会给cookie指定一个...
基于Cookie的攻击和防范学习总结
热门推荐
Rainman的专栏
01-07 1万+
实现基于HTTP Cookie攻击的前提是目标系统在Cookie中保存了用户ID,凭证,状态等其他可以用来进行攻击的信息。通常的攻击方式有三种:1. 直接访问Cookie文件查找想要的机密信息2. 在客户端和服务端进行Cookie信息传递时候进行截取,进而冒充合法用户进行操作。3. 攻击者修改Cookie信息,所以在服务端接收到客户端获取的Cookie信息的时候,就会对攻击者伪
Cookie安全问题与防范
X先生说
04-21 2349
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
cookie loscalstorage区别
09-08
Cookie和LocalStorage都是在前端开发中用于存储数据的技术,但它们之间有一些重要的区别。 首先,Cookie是由服务器发送给浏览器并存储在本地的小型文本文件。它们通常用于跟踪用户的会话状态,例如登录状态或购物车...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值