js-cookie的使用以及存储token安全的注意要点

最新推荐文章于 2024-01-20 14:59:46 发布
最新推荐文章于 2024-01-20 14:59:46 发布
阅读量1.1k 收藏 9
点赞数 9
分类专栏: 数据处理 文章标签: javascript 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyphf/article/details/135149446
版权

js-cookie的使用以及存储token安全的注意要点

npm 安装

npm i js-cookie -S
// https://www.npmjs.com/package/js-cookie

引入使用

import Cookies from 'js-cookie'

获取

Cookies.get('token'); // 读取token
Cookies.get() // 读取所有可见的 Cookie => { 'token': 'value' }

设置

cookies.set(名称,[值],[options])

maxAge:一个数字,表示自Date.now()到期起的毫秒数
expires:一个Date对象,指示cookie的过期日期(默认在会话结束时过期)。默认:天
path:一个字符串,指示cookie的路径(/默认情况下)。
domain:一个字符串,指示cookie的域(无默认值)。
secure:一个布尔值,指示cookie是否仅通过HTTPS发送(false默认情况下,对于HTTP,true默认情况下,对于HTTPS)。在下面阅读有关此选项的更多信息。
httpOnly:一个布尔值,指示cookie是否仅通过HTTP(S)发送,并且不提供给客户端JavaScript(true默认情况下)。
sameSite:布尔值或字符串,指示cookie是“相同站点” cookie(false默认情况下)。可以将其设置为’strict’,‘lax’或true(映射到’strict’)。
signed:一个布尔值,指示是否要对cookie进行签名(false默认情况下)。如果为真,.sig则还将发送另一个具有后缀的同名Cookie,其27字节的url安全base64 SHA1值表示针对第一个Keygrip密钥的cookie-name = cookie-value的哈希值。此签名密钥用于检测下次接收cookie时的篡改。
overwrite:一个布尔值,指示是否覆盖以前设置的同名Cookie(false默认情况下)。如果是这样,则在设置此Cookie时,将从相同名称的同一个请求中设置的所有Cookie(无论路径或域如何)都从Set-Cookie标头中过滤掉。

// 创建一个在整个站点上有效的 cookie
Cookies.set('token', '要设置的token');
// 创建一个 cookie,该 cookie 从现在起 7 天后过期,在整个网站上有效
Cookies.set('token', 'value', { expires: 7 })
// 创建一个即将过期的 cookie,对当前页面的路径有效
Cookies.set('token', 'value', { expires: 7, path: '' })

删除

Cookies.remove('token');

为了提高token的安全性,防止CSRF攻击

1、我们最好在设置存储token的时候增加SameSite属性,SameSite属性可以设置为Strict、Lax或None。

  • Strict: cookie只会在同源请求中发送
  • Lax: cookie会在同源请求和顶级导航(比如链接点击)中发送
  • None: cookie会在所有请求中发送,但这需要Secure属性同时设置为true
Cookies.set('token', 'value', { SameSite: 'Lax'})

2、使用CSRF Token:在每个请求中添加一个随机生成的CSRF Token,然后在服务器端验证这个Token。如果Token不匹配,那么请求将被拒绝。
3、使用Referer Header:在服务器端检查Referer Header,如果请求不是来自同一源,那么请求将被拒绝。

为了提高token的安全性,防止XSS攻击

1、配置httpOnly和secure

  • 将httpOnly设为true,这样即使网站受到XSS攻击,攻击者也无法通过JavaScript访问到cookie
  • 将secure设为true,强制启用https安全协议
Cookies.set('token', 'value', { SameSite: 'Lax', httpOnly: true, secure: true})

2、启用Content Security Policy,简称CSP内容安全策略集配置,限制浏览器只加载和执行来自特定源的脚本,从而防止XSS攻击;

3、对用户输入进行验证和转义:对所有用户输入进行验证,并对特殊字符进行转义,以防止恶意脚本被执行。

xyphf_和派孔明
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue项目中js-cookie使用存储token操作
01-18
1、安装js-cookie # npm install js-cookie –save # yarn add js-cookie 2、引用(需要的文件) import Cookies from 'js-cookie' const TokenKey = 'Admin-Token' export function getToken() { return ...
cookie作用;cookie是什么;js-cookie使用方法步骤和封装
killerdoubie的博客
02-22 179
cookie作用;cookie是什么;js-cookie使用方法步骤和封装
js-cookie使用--token的数据实现持久化
最新发布
Pzg3240432140的博客
01-20 599
1.存储数据时加上时间戳 在项目开发中,我们可以写一个公用的方法来进行存储的时候加上时间戳。前端进行数据的缓存,到就删除再进行获取新数据。js-cookie进行二次封装。
js-cookie使用心得
u013344993的博客
06-05 8054
项目是vue项目,其中cookie操作采用了github上面比较火热的js-cookie,这里结合需求总结体会。首先安装npm install js-cookie --save其次结合项目,我这里是封装成公共方法写了个专门的js存放cookie的操作。import Cookies from 'js-cookie' const TokenKey = 'token' export function...
如何预防cookie被盗用
James_liPeng的博客
12-29 545
虽然方式1能防止攻击者通过javascript脚本的方式窃取cookie,但是没办法防止攻击者通过fiddler等抓包工具直接截取请求数据包的方式获取cookie信息,这时候设置secure属性就显得很重要,当设置了secure=true时,那么cookie就只能在https协议下装载到请求数据包中,在http协议下就不会发送给服务器端,https比http更加安全,这样就可以防止cookie被加入到http协议请求包暴露给抓包工具啦。
JS基础】关于一些信息存储的基本概念,cookie、session、token、JWT、storage、indexedDB等
庞囧的博客
03-16 632
文章目录第一种第二种 第一种 技术栈:ant-design-vue 带有错误提示的,requests.js文件 import axios from "axios"; import { notification } from "ant-design-vue"; function request(options) { return axios(options) .then(res => { return res; }) .catch(error => {
关于前端通过js-cookie设置token后跳转页面拿不到token的解决方法;
G1ANTS的博客
07-01 2121
关于前端通过js-cookie设置token后跳转页面拿不到token的解决方法;
Vue中使用js-cookie插件实现登录时记住密码后存取到Cookie
BADAO_LIUMANG_QIZHI的博客
09-01 1815
场景 使用vue实现一个登录页面时,实现记住密码功能。 在勾选了记住密码后将密码存储Cookie中,然后下次直接从Cookie中取。 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 官网 https://www.npmjs.com/package/js-cookie 安装 npm install js-cookie --save 使用 为了使用方便,将.
二十一天学通JavaScriptcookie安全
博文视点(北京)官方博客
01-07 2514
二十一天学通JavaScriptcookie安全性本文节选自《21天学通JavaScript》一书    在默认情况下,cookie都是采用不加密的HTTP的传输方法,这种方法传输容易被别人窃听。如果cookie中的信息很重要,就不能用这种方法了。因此,在JavaScript提供了cookie的secure属性,可以解决这个问题。secure就是安全的意思。当设置了cookie的secure属
什么是Tokenjavascript 如何获取和禁用 cookie
hl199626的博客
06-29 1777
什么是Tokenjs如何获取/禁用cookie假设cookie存储的内容为:name=jack;password=123则在B页面中获取变量username的值的JS代码如下: 使用cookiedocument.cookie = "name=value;expires=evalue; path=pvalue; domain=dvalue; secure;”name是必选参数,expires、path、domain、secure都是可选参数。expires=evalue 该对象的有效时间 只支持GTM
js如何获取cookie和session里面的token
LJH950908的博客
10-23 7260
首先cookie 网上找的很多document获取的cookie都是假货,根本获取不到。 获取cookie需要导入 一个js.cookie.js文件。 文件地址点击此链接 引入<script src="static/js/js.cookie.js"></script> 获取cookie 数组:var arr=Cookies.get(); 获取具体cookie :...
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
insomnia-plugin-aws-cognito-token:适用于AWS Cognito的Insomnia插件
05-27
注意:版本0.10.0更改了“标签”顺序,您可能必须重新排序“标签”值。 注意:版本0.14.0将UserPoolId更改为Region,它可以向后兼容,但您应在下划线后删除字符串,以仅保留池中的Region部分。 例如us-east-1_...
js-cookie.js
06-30
用于页面获取cookie值,常用于token传输的基本使用。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125534635?spm=1001.2014.3001.5501
cookie-session-token:cookie、session、token简介
04-16
返回登录成功的信息给客户端,响应首部包含set-cookie字段,客户端接收到后存储cookiecookie里通常userid以及最重要的session_id用于关联会话3.下一次同域名请求会自动带上cookie,后端获取cookie里的session_id...
localStorage的过期时间设置的方法?——和派孔明
热门推荐
xyphf的博客
07-05 3万+
我们都知道localStorage不主动删除,永远不会销毁,那么如何设置localStorage的过期时间呢,今天我们来一起尝试一下! 封装localStorage过期控制代码
[Vue warn]: Error in mounted hook: "SyntaxError: Unexpected token   in JSON at position 54"
xyphf的博客
07-25 1万+
vue.esm.js?c5de:628 [Vue warn]: Error in mounted hook: "SyntaxError: Unexpected token in JSON at position 54" found in ---> <OaHeader> at src/pages/common/oaHeader.vue <ElHeader...
javascriptjson的去重复、统计、排序、数据整理问题案例介绍
xyphf的博客
03-25 5550
//javascriptjson的去重复、统计、排序、数据整理问题案例介绍 var str='韩版 春新品 连衣裙 春新品 韩版 打底衫 连衣裙 裤子 连衣裙 春新品 连衣裙'; var arr=str.split(' ');//将字符串切成数组 [春新品 韩版 春新品 连衣裙 春新品 韩版 打底衫 连衣裙 裤子 连衣裙 春新品 连衣裙] var json={}
合并数组内json的相同项,不同项合并成数组
xyphf的博客
05-22 5193
服务端可能会给我大量冗余数据让我们自己处理,如下列有多个id相同的是一条数据,却分成多个json丢出来,我们要合并一下相同项,将不同项后面变成数组;服务端给的数据如下: var json = [ { "lotteryTypeItemName":"主胜2.68", // 投注项名称 "homeScore"...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值