Cookie与session

HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session.

• Cookie包含了浏览器客户端的用户凭证, 相对较小.

• Session则维护在服务器, 用于维护相对较大的用户信息.

用通俗的语言, Cookie是钥匙, Session是锁芯.

Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取你的信息, 甚至挪用你的资金. 这是非常危险的.

XSS与CSRF

• XSS（Cross SiteScripting，跨站脚本攻击）
  是注入攻击的一种，特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径
• CSRF（Cross-site request forgery，跨站请求伪造），
  是通过伪造请求，冒充用户在站内进行操作

Cookie防劫持预防

基于XSS攻击, 窃取Cookie信息, 并冒充他人身份。

1） 方法一：

给Cookie添加HttpOnly属性, 这种属性设置后, 只能在http请求中传递, 在脚本中, document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.

2）方法二：

在cookie中添加校验信息, 这个校验信息和当前用户外置环境有些关系,比如ip,user agent等有关. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 因此要求重新登录, 这样也是种很好的思路, 去规避cookie劫持.

3）方法三：

cookie中session id的定时更换, 让session id按一定频率变换, 同时对用户而言, 该操作是透明的, 这样保证了服务体验的一致性.

4）方法四：

第一点说了请求令牌理论上是可破解的，所以非常重要的场合，应该考虑使用验证码（令牌的一种升级，目前来看破解难度极大），或者要求用户再次输入密码（亚马逊、淘宝的做法）。但这两种方式用户体验都不好，所以需要产品开发者权衡。

Cookie--防劫持的处理相关推荐

1. php cookie防伪造,技术分享：Cookie 防伪造 防修改

   原标题:技术分享:Cookie 防伪造 防修改 主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改 ...

2. 网站域名服务器加密,网站域名利用https防劫持方法

   原标题:网站域名利用https防劫持方法 公共 DNS.HttpDNS 的部署成本过高,并且具有一定的技术门槛,在面对无孔不入的 DNS 劫持时有时候其实有点力不从心. 那么如何简单有效低成本的加强域 ...

3. 网站app被劫持怎么办?HTTPDNS阿里云域名防劫持, DNSPod 移动解析服务 D+

   网站app被劫持怎么办?HTTPDNS阿里云域名防劫持, DNSPod 移动解析服务 D+ HTTPDNS_移动开发_域名解析_域名防劫持-阿里云 https://www.aliyun.com/pro ...

4. 网站app被劫持怎么办?dns被劫持，域名被劫持，HTTPDNS阿里云域名防劫持, DNSPod移动解析防劫持服务D+...

   网站app被劫持怎么办?dns被劫持,域名被劫持 HTTPDNS阿里云域名防劫持, DNSPod移动解析防劫持服务D+ 垄断,就是鸡国的毒瘤. 域名被中移动劫持了,mlgb!! 关于互联网流量劫持分析 ...

5. 全球免费公共【 DNS 】解析服务器 IP 地址列表推荐 【解决无法上网+加速+防劫持】

   全球免费公共 DNS 解析服务器 IP 地址列表推荐 (解决无法上网/加速/防劫持)    基本上接触过网络相关知识的人应该多少都会听过 DNS 这个名词.因为DNS 它非常重要,在我们上网的过程中扮 ...

6. APP界面防劫持，处于后台时弹窗提示

   当程序处于后台时弹窗提醒,防止其他APP界面劫持 1. 实现对APP所有Activity生命周期的监控 顶层activity中onStope方法被执行,则认为程序处于后台.由于Activity被销毁或 ...

7. 一文看懂设备指纹如何防篡改、防劫持

   一定程度上,设备指纹之于人的重要意义不亚于身分证. 为什么这么说? 大多数人可能都有过这样的经历: 刷短视频时,只要我们点赞了某个视频,那么下一次再刷视频时,系统就会推荐更多类似的视频:当你在某个购物 ...

8. Cookie防伪造防修改

   主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改. 防修改cookie存储,Cookie(nam ...

9. Kali Linux 实现Cookie会话劫持

   一.环境搭建 Tips: 使用Kali Linux,下列工具中只需要下载ferret即可,其它工具均默认安装 1.下载arpspoof apt install dsniff 2.下载ferret 软件 ...

10. 全球免费公共 DNS 解析服务器 IP 地址列表推荐 (解决无法上网/加速/防劫持)

    全球免费公共 DNS 解析服务器 IP 地址列表推荐 基本上接触过网络相关知识的人应该多少都会听过 DNS 这个名词.因为 DNS 它非常重要,在我们上网的过程中扮演着重要的角色--"将网址 ...

最新文章

1. oracle索引未使用,oracle
2. 台式计算机的配置清单(硬件和软件),计算机硬件配置清单大 全！值得收藏哦
3. r导出html怎么保存,做植物谱系图，用Phylomatic软件将网页中的输出结果拷贝到文本文件中, 并另存为phylo...
4. 程序猿，该在一个公司呆多久？
5. SharePoint 2010新特性Ribbon
6. 【java基础知识】判断字符串不为空
7. c语言实力,排序算法（更新ing）（C语言实现）（认真的不像实力派）
8. GC原理---对象可达判断
9. win10 + VS2010 + OpenCV2.4.10重编译OpenCV开发环境搭建
10. origin刻度消失_使用Origin制作XRD图基本技巧，你get到了嘛？
11. python面试通关_Python面试通关宝典
12. 路径规划(一) —— 环境描述(Grid Map Feature Map) 全局路径规划(最优路径规划(DijkstraA*star) 概率路径规划(PRMRRT))
13. 华东理工c语言题库,华东理工大学c语言.doc
14. 利用移动硬盘+路由器搭建局域网云存储
15. Cesium添加geojson数据及WMS在线图层服务
16. js 排班插件_最近做的排班表，整个表格全JS动态生成，用了很多Jquery的库，4个主要页面...
17. 上传图片直接显示图片操作
18. 机器学习 | 调参 Part1
19. 成都中科院计算机研究所招聘,2017年中科院成都计算机应用研究所考研复试分数线以及复试通知...
20. LUA 和 JAVA 的区别

热门文章

1. 拒绝B站邀约，从月薪3k到年薪47W，我的经验值得每一个测试人借鉴
2. 2021年智能制造工程设计与应用类赛项：离散行业自动化方向（１)
3. 程序员需要熟悉的英语单词
4. java转大数据的学习路线
5. 让代码审查扮演更好的角色
6. 我怎么就被一张照片出卖了？可怕！
7. 人工智能相关技术的快速发展，主要带来了哪些价值优势？
8. 淘宝、天猫API接口
9. 移动端flexible解决ipad和ipad Pro不适配
10. P5055【模板】可持久化文艺平衡树