cookie和token安全上的区别

最新推荐文章于 2023-09-08 11:43:00 发布
最新推荐文章于 2023-09-08 11:43:00 发布
阅读量2.7k 收藏 15
点赞数 6
分类专栏: javascript 文章标签: token比cookie安全
原文链接:https://www.xinran001.com/frontend/283.html
版权

token为什么就比cookie安全

  • cookie是什么
    登陆后,后端生成一个sessionid放在cookie中返回给客户端,并且服务端一直记录着这个sessionid,客户端以后每次请求都会自动带上这个sessionid,服务端通过这个sessionid来验证身份之类的操作。所以别人拿到了cookie等于拿到了sessionid,就可以完全替代你。

  • token是什么
    登陆后,后端会返回一个token给客户端,客户端将这个token存储起来,然后每次客户端请求都需要开发者手动将token放在header中带过去,服务端每次只需要对这个token进行验证就能使用token中的信息来进行下一步操作了。

  • xss 是什么
    用户通过各种方式将恶意代码注入到其他用户的页面中,就可以通过脚本获取用户信息,发送请求等。

  • csrf 是什么
    跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。

    这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。csrf并不能够拿到用户的任何信息,它只是欺骗用户浏览器,让其以用户的名义进行操作。

  • csrf例子
    假如一家银行用以运行转账操作的URL地址如下: http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName,

    那么,一个恶意攻击者可以在另一个网站上放置如下代码: <img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">
    如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

  • 对于xss攻击来说,cookie和token没有什么区别。但是对于csrf来说就有区别

    如果被xss攻击了,不管是token还是cookie,都能被拿到,所以对于xss攻击来说,cookie和token没有什么区别。

    但是对于csrf来说就有区别,以上面的csrf攻击为例:

    • cookie:用户点击了链接,cookie未失效,导致发起请求后,浏览器自动携带cookie,后端以为是用户正常操作,于是进行扣款操作。
    • token:用户点击链接,由于浏览器不会自动带上token,所以即使发了请求,后端的token验证不会通过,所以不会进行扣款操作。

参考链接:https://www.xinran001.com/frontend/283.html

一月清辉
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Cookie、Session、Token、JWT
07-21
Cookie、Session、Token、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或其他状态数据。当客户端请求服务器时,会将 Cookie 信息附加在 HTTP 请求的头部中发送给服务器。服务器可以读取和解析 Cookie 来获取用户的身份信息或其他状态。Cookie 可以设置过期时间,可以在多个请求之间保持状态。 Session:Session 是服务器端存储用户信息的一种机制。服务器在用户首次访问时为其创建一个唯一的会话标识符(Session ID),并将该标识符存储在服务器上。客户端在后续的请求中会将该 Session ID 作为 Cookie 发送给服务器。服务器使用 Session ID 来获取对应的用户信息。Session 可以存储敏感数据,且在服务器端存储,相对安全TokenToken 是一种无状态的身份验证机制。当用户登录成功后,服务器会生成一个 Token 并返回给客户端,客户端将该 Token 存储在本地
登录使用Tokencookie/session相比的优劣
lyy18719172450的博客
07-16 786
优势 支持跨域访问: Cookie是不允许垮域访问的,token支持 无状态: token无状态,session有状态的 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可. 更适用于移动应用: Cookie不支持手机端访问的 性能: 在网络传输的过程中,性能更好 基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在 多个后端库(.NET, Ruby, Java,Py
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 1115
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
Cookie、Session和Token三者区别以及各自应用场景
qcy的博客
09-08 1286
综上所述,选择使用Cookie、Session还是Token取决于你的具体需求和安全要求。对于简单的状态存储和会话跟踪,通常使用Cookie和Session即可。对于需要更高级的安全性验证和授权控制,使用Token更为合适。具体选择哪种方法要根据你的项目需求、开发难度和安全性要求来决定。
Session、TokenCookie区别及实际使用
不愧是暮言的博客
05-16 1170
在现代Web开发中,身份验证和会话管理涉及一些基本概念,如Session、TokenCookie。尽管它们都用于管理不同方面的Web会话,但它们之间的差异是很重要的。在本文中,我们将一一介绍Session、TokenCookie的定义、实际意义和使用,并分析它们的优点和缺点。
Cookie、Session和Token三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
十次方——加密与初识JWT
24只羊羊羊
03-29 562
一. BCrypt密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。BCrypt强哈希方法 每次加密的结...
tokencookie区别?(token是如何避免CSRF攻击?)
宇华的博客
07-05 1546
tokencookie区别token是如何避免CSRF攻击的?
CookieToken区别
a2986467829的博客
06-27 6587
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
Cookie、session和token区别token和session对比选型)
热门推荐
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
在终章笔记中主要介绍一下JWT以及总结Cookie到JWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,Cookie到JWT场景,安全等的区别。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session...
cookie-session-token:cookie、session、token简介
04-16
cookie-session-tokencookie、session、token简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookie和session1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
node实现基于token的身份验证
01-02
对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie身份验证 由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一...
Vue中axios拦截器如何单独配置token
11-27
在了解到cookie、session、token的作用后学习token的使用 cookie cookie是随着url将参数发送到后台,安全性最低,并且大小受限,不超过4kb左右,它的数据保存在客户端 session session数据保存在服务端,在内存中...
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
上位机开发罗克韦尔abcip通信协议详解
04-23
上位机开发罗克韦尔abcip通信协议详解 1.注册会话命令详解 6500 0400 00000000 00000000 0000000000000000 00000000 0100 0000 响应 6500 0400 05000400 00000000 0000000000000000 00000000 0100 0000 6500:注册请求命令 0400:服务长度(0100 0000) 00000000:会话句柄 (由PLC生成) 00000000:状态默认 0000000000000000:发送方描述,默认0 00000000:选项,默认0 0100:协议版本,默认1 0000:选项标记,默认0
Microsoft SPY++ 工具及使用教程
04-23
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,提供系统进程、线程、窗口和窗口消息的图形视图。 Spy++ 有两个版本。 第一个版本,名为 Spy++ (spyxx.exe),用于显示发送到在 32 位进程中运行的窗口的消息。 例如,在 32 位进程中运行的 Visual Studio。 因此,可以使用 Spy++ 来显示发送到“解决方案资源管理器” 中的消息。 由于 Visual Studio 中大多数生成的默认配置都是在 32 位进程中运行的,因此如果已安装所需组件,则第一个版本的 Spy++ 就是在 Visual Studio 中的“工具”菜单上可用的那一个。 第二个版本,名为 Spy++(64 位)(spyxx_amd64.exe),用于显示发送到在 64 位进程中运行的窗口的消息。 例如,在 64 位操作系统上,记事本在 64 位进程中运行。 因此,可以使用 Spy++(64 位)来显示发送到记事本的消息。 详细的使用说明请见:https://blog.csdn.net/huang1600301017/article/details/138137
js导出excel封装【原生、配置式】 示例
04-23
导出excel示例
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面.zip
04-23
HTML2-iOs-App模板官网落地页APP主页产品宣传页源码 landing静态页面
tokencookie区别
04-14
TokenCookie是两种不同的身份验证方式。Cookie是一种在浏览器端存储身份验证信息的技术,它将用户身份验证信息存储在浏览器中的文本文件中。而Token是一种在服务器端存储身份验证信息的技术,它将用户身份验证信息存储在服务器端的内存或数据库中,并将一段经过加密处理的字符串返回给客户端。当客户端再次发送请求时,它会将这个Token放在请求头中,服务器通过验证Token来判断用户身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值