提高COOKIE的安全性--相关解决方案

最新推荐文章于 2025-10-05 13:19:14 发布
原创 最新推荐文章于 2025-10-05 13:19:14 发布 · 1w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cookies #加密 #解密 #网络 #数据库 #破解

本文提出了一种利用3DES加密算法加密Cookie的方法,通过在客户端加密“值、时间、IP戳”,确保Cookie的安全性。这种方法不仅避免了客户端明文信息的泄露,还能够有效防止Cookie被篡改和暴力破解,同时支持多设备登录,提升了用户体验。


提高COOKIE的安全性--相关解决方案
 
网络上常见方案是: 
 给Cookies加个加密算法。 给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。
最终使用MD5来MAC签名防止篡改……但这样仍然可以看到明文信息,有一定不安全之处。


我的方案是

cookie==3des(“值,时间,IP戳”);   最终得到的COOKIE是这样的:3BD1B32614A528EA


使用3DES来加密,这样保证客户端没有明文……。


服务端检查的时候,再解密出来值,时间,IP戳,并检查过期时间与IP……不符的需要清空此COOKIE,转向登录页面..

 

这样解决了几个问题
1.客户端COOKIE无明文,得到不任何有用信息……如果使用MD5签名,客户端势必有明文。
2.无法篡改,一旦篡改后在服务端解密的时候就会出错……防止了暴力破解
3.在网络被截获后,也无法使用,因为有IP戳……且IP是加密的,无法看到明文,所以也无法使用伪造IP的方式
4.之所以在客户端存放IP戳,可以使得其在多台电脑上存放COOKIE,如果放在服务端,则只能一台电脑用COOKIE登录了,影响用户体验,且浪费性能查询数据库……

attilax
关注
Cookie加密解密
a17151314的博客
11-25 4558
1.Cookie是一种会话技术 2.由于存储的内容只能是String类型,故而一些特殊符号需借助加密解密来实现(加密工具:URLEocoder,解密工具:URLDecoder) @WebServlet("/test") public class CookieTest extends HttpServlet { private static final long serialVersionUID = 1L; protected void doGet(HttpServletRequest request,
【浏览器安全策略】Chrome 83+跨域Cookie配置调整:SameSite默认策略禁用方案解决登录失效问题
最新发布
10-24
内容概要:本文主要介绍了Chrome浏览器80版本以上在跨域请求时因SameSite Cookie策略变更导致的登录失效问题,并提供了解决方案。...同时建议后续通过服务端设置Secure和SameSite属性来实现兼容性更好的跨域解决方案
提高cookie安全性的几种方法
whaxrl的专栏
11-07 4543
 一、对保存到cookie里面的敏感信息必须加密   二、设置HttpOnly为true 三、设置Secure为true 四、给Cookie设置有效期 五、给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效 参考资料:   如何提高cookie安全性    http://www.studyofnet
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
Cookie安全性问题的解决方案
季诗筱的博客
07-29 7478
面试被问到了登录时候用cookie的话,安全性问题怎么解决?我基本没有答上来……自己的回答也是醉啊,当时紧张的大脑都不能思考了。所以自己重新学习了一下,先把弄懂了的解决方案记录下来,今后有更好的方法再更新博客。将用户的认证信息保存在一个cookie中,具体如下: 1.cookie名:uid。推荐进行加密,比如MD5(‘站点名称’)等。 2.cookie值:登录名|有效时间Expires|ha
Cookie在网站登录所带来的安全隐患及解决办法
Echo_Ana的博客
09-22 8707
最近几天屡次出现登录优快云账户登陆问题,具体的问题是:在以往保留的正确的账号和密码的界面上自动登录,登录到了一个不知名的账号上。 于是我便开始寻找正确的解决方案之路: 1. 在账号输入界面重新输入自己的账号和密码,但是都会出现相同的问题。 2. 将浏览器的历史记录给清除掉,也依旧不能解决问题 3. 最后我将浏览器里的上网痕迹给设置清理了一下,添加了清理Cookies这一项,结果再进入登录
Node.js-webStorage封装库-支持cookie解决方案
08-09
本文将深入探讨"Node.js-webStorage封装库-支持cookie解决方案"这一主题,介绍如何在Node.js环境中对这些存储机制进行封装,以及它们各自的特点和应用场景。 首先,localStorage和sessionStorage是HTML5引入的两种...
Cookie疑难解答-案例研究
04-01
6. **Cookie安全性**:为了防止Cookie被篡改,可以设置`HttpOnly`标志,阻止JavaScript访问,降低XSS攻击的风险。同时,使用HTTPS传输Cookie能保护其在传输过程中的安全性。 7. **调试Cookie问题**:使用浏览器的...
41、网络安全防护:Cookie - Proxy与ActiveX API检测方案
java5的博客
10-05 18
本文介绍了两种网络安全防护方案:Cookie-Proxy方案有效防御SSLStrip中间人攻击,通过SLGP和SSGP的拓扑结构及增强的安全Cookie协议,实现认证、机密性、完整性与抗重放能力,且性能开销低;ActiveX API-Misuse检测方法通过建模与监控,识别并阻止危险API调用,预防恶意利用,在IE环境中实现高效防护。实验表明两种方案在安全性与性能间取得良好平衡,具有重要应用价值。
cookie-universal:前端到SSR的通用cookie管理解决方案
【注】:在实际应用中,开发者应该注意到在不同环境(如浏览器和服务器)操作cookie时涉及的安全性问题。例如,跨域Cookie的管理需要特别关注Same-Origin Policy和CORS策略。同时,针对用户隐私保护的法规(如欧洲的...
提高cookie安全性的几个建议
weixin_33700350的博客
12-21 966
2019独角兽企业重金招聘Python工程师标准>>> ...
cookie安全性问题
热门推荐
resilient的博客
12-25 1万+
什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)。(注:此定义来自百度百科) cookie对于登录的效果 排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期 创建cookie的时候,会给cooki...
防止cookie被盗用
AlgorithmHero的博客
08-21 1313
在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。通过设置 Cookie 的 Domain 属性,可以限制 Cookie 只在特定的域名下有效,减少跨站点攻击的风险。尽量避免使用过于宽泛的域名。在开发应用时,采用安全的编码和开发实践,以减少漏洞的可能性,包括 XSS 和 CSRF 攻击。
如何保障Cookie的信息安全
Reische的博客
12-29 2159
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器中,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求中扩大 Cookie 的处理策略。
Cookie安全问题与防范
X先生说
04-21 2685
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
利用session,cookie进行安全性控制
jxcjxinxing的专栏
12-28 2364
 利用session,cookie进行安全性控制                          Sessions的介绍            什么是Sessions?session其实指的就是访问者从到达某个特定主页到离开为止的那段时间,每个访问者都会单独获得一个session。            Sessions可以用来储存访问者的一些喜好,例如:访问者是喜好绿色背景还是兰色?访问者是否
COOKIE之安全设置漫谈
weixin_34204722的博客
06-04 376
一、标题:COOKIE之安全设置漫谈        副标:httponly属性和secure属性解析 二、引言 经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下... 2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读我的这篇文章:  <<COOKIE漫谈>> 三、Cookie属性 co...
Cookie安全性
半夏_2021的博客
05-08 2088
Cookie安全性
傻傻分不清之 Cookie、Session、Token、JWT
多喝i热水的博客
03-02 708
史上最清晰的关于Cookie、Session、Token、JWT的介绍
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值