Cookie与系统安全

最新推荐文章于 2022-11-22 15:43:56 发布
最新推荐文章于 2022-11-22 15:43:56 发布
阅读量551 收藏
点赞数
分类专栏: Web安全 WEB开发 文章标签: web安全 开发漏洞 cookie xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaowen25/article/details/46565367
版权

Cookie的安全往往被程序员们所忽视,首先来了解一下Cookie是什么?

背景:

程序员们用Session在服务端保存着和用户相关的信息,当用户退出时,或关闭浏览器时session就失效了,这时程序员们希望通过用户每次请求时所带的一些数据来识别之前登录过的用户,于是在用户的浏览器中就出现了Cookie。

用途:

Cookie中往往存储着和用户相关的信息,这些信息有时可以标识着一个身份,请求跨站伪造(CSRF就是利用了Cookie代表着一个用户的特性,因为在浏览器中,通过一些方法,我们可以修改请求中的cookie,如果改成了和一个已经登录且生效的用户的cookie一样,那系统就会误认为我就是那个已经登录的那个人,而事实我却并没有输入什么用户名密码登录。

那么如何伪造Cookie呢?其实这是跨站脚本攻击(XSS)的目的,用一个脚本来获取别人正在使用的Cookie,再通过邮件或其他方式,将获取到的Cookie发送给攻击者。获取cookie的JS很简单:

var mycookie = document.cookie;
写cookie的话也很简单: 
document.cookie='key=value;'

如何防范:

要想让Cookie安全还是有方法的,首先要了解Cookie有哪些属性:


Name:Cookie的名字

Value:Cookie的值

DomainCookie作用在哪个域名下

PathCookie作用在什么上下文

Expires:有效时间

HTTP:httponly,防止JS获取,只作用在传输过程中

Secure:是否只作用在HTTPS的方式下

通过设置httponly属性可以防止cookie被别人窃取伪造,对于HTTPS的接口,最好还要设置Secure也为true。

注意事项:

很少有程序员重视cookie的安全性,更不重视Cookie的httponly功能,导致了大量的用户受到甚至财产上的损失。

还有要注意的是Cookie是有作用域和作用上下文的,如果作用域和作用上下文设置不当,服务端是取不到值的,这个在做APP时会常遇到,就是在APP设置了cookie时,在服务端没生效,因为没取到。


vince_zw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统设计 Cookie
siriusol的博客
04-12 263
Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。 维基百科是这样定义 Cookie 的:Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存放在客户端,一般用来保存用户信息。 下面是 Cookie 的一些应用案例: 我们在 Cookie 中保存已经登录过的用户信息,下次访问网站的时候页...
系统安全 Cookie
最新发布
m0_52553261的博客
06-02 230
系统安全实验 Cookie
系统Cookie相关读取操作
xs_zgsc的专栏
05-02 759
/// /// 系统Cookie相关读取操作 /// public class CookieManager { #region 构造函数 /// /// 构造函数 /// public CookieManager() { } #e
关于两个系统cookie冲突问题
渔歌唱晚
10-23 2713
两个系统分别部署在A:http://www.aaaa.com.cn:8888和B:http://www.aaaa.com.cn:7777上,两个系统由于历史原因都不能增加context-path,其中B系统界面通过frame嵌入到A系统中,服务器是JAVA应用服务器,要求两系统分别保留自己的session.出现的问题是B系统的session丢失,系统无法正常运行. 解决办法1:其中
cookie详解
永远是少年
11-22 4706
今天继续给大家介绍渗透测试相关知识,本文主要内容是cookie详解,从网站开发和渗透测试的角度,讲解cookie的作用,IT小白可能无法看懂本文的全部内容,但是也可以从另一个角度了解cookie。 一、cookie作用 二、cookie产生 三、cookie与浏览器 四、cookie与session 五、cookie安全
操作系统安全:删除Cookie文件和临时文件.pptx
06-02
操作系统安全是保障用户数据隐私和系统稳定运行的重要环节,其中删除Cookie文件和临时文件是维护个人隐私和提高系统性能的有效措施。Cookie文件和临时文件在日常网络浏览中扮演着重要角色,但它们也可能成为安全隐患...
操作系统安全:syncookie配置.docx
06-01
操作系统安全:SYN Cookie配置详解 SYN Flood攻击是一种针对TCP协议栈的拒绝服务(Denial of Service,DoS)攻击方式,它利用了IPv4中TCP协议的三次握手过程。在TCP连接建立过程中,服务器在收到客户端的SYN请求后...
Cookie安全测试
05-23
#### 一、Cookie简介与安全风险 **Cookie**是一种小型文本文件,网站通过浏览器将其存储在用户的计算机上,用于记录用户的偏好、登录状态等信息。这种机制极大地方便了Web应用程序的功能实现,比如记住用户的登录...
深入分析Cookie安全性问题
01-19
但是,Cookie作为用户身份的替代,其安全性有时决定了整个系统安全性,Cookie安全性问题不容忽视。 (1)Cookie欺骗 Cookie记录了用户的帐户ID、密码之类的信息,通常使用MD5方法加密后在网上传递。经过加密处理
华中科技大学信息系统安全实验报告.zip
06-11
这篇实验报告旨在通过理论与实践相结合的方式,让学生理解和掌握信息系统安全的关键概念、技术和应对策略。 在软件安全方面,报告可能详细探讨了软件开发生命周期(SDLC)中的安全实践,包括需求分析、设计、编码、...
java cookie安全_cookie安全性问题
weixin_36278346的博客
02-12 358
HTTP协议:(1)请求组成部分:请求行:(get或者post请求;请求路径(不包括主机) ;http1.1)请求头:请求头是浏览器交给服务器的一些信息(比较cookie啥的)请求体:只有post请求有请求体,get请求没有。(2)响应组成部分:响应状态行:响应码200,404,500响应头:响应体:浏览器解析现实的数据1、cookie加密2、http-onlyhttp://blog.csdn.n...
启用https后,登录后cookie改变导致自动登出的问题
ljq354004063的博客
11-11 1004
有一个jsp+servlet 架构的项目,发布到外网后,直接在tomcat部署ssl证书后发现,每次登录校验成功之后,请求到首页后,cookie的JSESSIONID改变,随即登出。 tomcat的server.xml配置如下: <Connector port="8453" protocol="org.apache.coyote.http11.Http11Protocol" ...
基于Cookie的单点登录(SSO)系统介绍
weixin_34019144的博客
11-09 234
SSO的概念: 单点登录SSO(Single Sign-On)是身份管理中的一部分。SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 SSO的用途: 目前的企业应用环境中,往往有很多的应用系统,如办公自动化(OA)系统,财务管理...
全面了解 Cookie的传递流程、编程实现及安全问题
肄若芸(yiruoyun)的专栏
11-23 2191
全面了解 Cookie的传递流程、编程实现及安全问题     Cookie在英文中是小甜品的意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过的网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的
cookie安全隐患以及防篡改机制
浮生离梦的博客
05-28 6072
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
cookie安全性问题
chenpeng0708的博客
04-14 740
cookie安全性问题
深入解析Cookie技术
csdndataid_123的专栏
09-14 914
0×00 引言 在Web技术的发展史上,Cookie技术的出现是一次重大的 变革。但是, Cookie技术又是一项非常有争议的技术,从它诞生之日起就成了广大网络用户和Web开发人员的一个争论焦点,原因不是Cookie的功能太弱,而是认为Cookie的使用会对网络用户的隐私信息构成危害。 Cookie技术最先被Netscape公司引入到Navigator浏览器中。之后,WoridWide
JAVA中几种常用的RPC框架介绍
热门推荐
Vince的修炼之路
05-02 15万+
RPC是远程过程调用的简称,广泛应用在大规模分布式应用中,作用是有助于系统的垂直拆分,使系统更易拓展。Java中的RPC框架比较多,各有特色,广泛使用的有RMI、Hessian、Dubbo等。 1、RMI(远程方法调用) JAVA自带的远程方法调用工具,不过有一定的局限性 2、Hessian(基于HTTP的远程方法调用) 基于HTTP协议传输,在性能方面还不够完美,负载均衡和失效转移依赖于
Cookie安全:防范欺骗与注入攻击
攻击者可能会尝试修改或创建新的Cookie,以绕过系统的身份验证。在提供的代码示例中,可以看到ASP代码用来检查用户登录状态,它检查了三个Cookie键值:"lunjilyb"下的"username"、"password"和"randomid"。如果这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值