web安全问题-cookie

最新推荐文章于 2023-06-30 16:16:11 发布
转载 最新推荐文章于 2023-06-30 16:16:11 发布 · 154 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/weizaiyes/p/7723750.html
文章标签:

#web安全

1.cookies只能设置过期 不能删除

<script>
now.toGMTString()  => 事件可以用来设置cookie
document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx")
</script>

2.Cookies-登录用户凭证

  • 用户ID
  • 用户ID + 签名

3.xss和cookies

  • xss可能偷取cookies
  • http-only的cookie不会被偷

4.cookies和csrf关系

  • csrf利用用户cookie
  • 攻击站点无法读写Cookies
  • 最好阻止第三方使用Cookies samesite

5.cookies安全案例

  • cms系统
  • cms使用username作为唯一用户标识
  • cms文章作者暴露了username
  • 可以使用任意username登录后台
    • 某论坛使用asp bbs
    • 使用用户ID作为用户标识
    • 可伪造任何登录

7.cookies安全策略

  • 签名防止篡改
  • 私有变换(加密)
  • http-only (防止xss)
  • secure

转载于:https://www.cnblogs.com/weizaiyes/p/7723750.html

daxiangya6845
关注
WEB安全(四)Cookie的使用
jinyangjie的博客
02-12 1358
1、设置 Cookie 返回给客户端 @GetMapping("/change-username") public String setCookie(HttpServletResponse response) { // 创建 cookie Cookie cookie = new Cookie("username", "jin"); //设置 cookie过期时间 cookie.setMaxAge(7 * 24 * 60 * 60); // 7天过期 //添加到 res
《白帽子讲Web安全》学习:深入解析Cookie与会话安全
FFNCL的博客
02-25 1266
指定了 Cookie 可以被哪些域名访问。只有当浏览器请求的域名与 Cookie 的 Domain 属性匹配时,浏览器才会在请求中包含该 Cookie
web网络安全---cookie
罗罗的1024
01-02 525
什么是Cookie 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。 Cookie具有不可跨域名性 提问:很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的C
Web安全——关于cookies
mapbar_front的博客
06-16 639
cookie的特性 如果要认识cookie是如何对web安全很重要,首先你要了解它是什么? cookie是一种前端的数据存储。 后端可以通过http头进行设置cookie。 请求是通过http头传输给后端。 前端可读写。document.cookie。 遵守同源策略。(协议、端口、域名都要相同)。 cookie的应用场景 cookie一般是用来做用户登录状态的验证的。 它有这么几种方...
Web安全:你必须知道的“Cookie安全
weixin_34128501的博客
05-21 377
  初识cookie  http是无状态的请求响应。每次的请求响应之后,连接会立即断开或延时断开(保持一定的连接有效期)。断开后,下一次请求再重新建立。在http连接时,通过cookie进行会话跟踪,第一次响应时设置的Cookie在随后的每次请求中都会发送出去。Cookie还可以包括登陆认证后的身份信息。  大多数浏览器限制每个域能有50个cookies左右。存储的cookies最大值约为4kb,...
WEB安全Cookie安全策略
MayMatrix 的博客
06-30 1084
而解决的方法就是,在设置用户 id 的同时,再设置一个根据用户 id 生成的一个 token。虽然有这个方法,但是我经手的项目中却没有一个是使用这样的方法,因为这里对于服务器来说面有一个性能的问题,如果用户体量很大,那服务器就需要存储大量的 id 数据,而且,用户如果同时在多个地方登录,那是不是又要再做不同的判断处理。路径的参数是 Path,这里的意思是指定的某个路径这个 cookie 才能使用,这里的一般直接就是设置成 \ ,当前目录下都可使用,因为只要是当前域下的,其实都可以使用。
精选资源
flask-session-cookie-manager-master.zip
09-05
综上所述,“flask-session-cookie-manager-master”是一个针对Flask的session管理工具,重点关注session的安全加密和解密,旨在提高Web应用在CTF竞赛或实际开发中的安全性。通过研究和使用这个工具,我们可以深入...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。...Bugku-Web-cookie欺骗是一种危险的攻击方式,需要我们采取防御措施来保护服务器的安全
CTFHUB-WEB前置技能-HTTP协议-Cookie
K_ShenH的博客
06-09 1051
CTFHUB-WEB前置技能-HTTP协议-Cookie
BJDCTF-2020-Web-Cookie is so subtle!
feng的博客
11-02 1013
知识点 Cookie(其实这个点可以不用管) SSTI WP 首先环境有三个页面,分别是index.php,flag.php,hint.php。hint.php的源码里有个提示: <!-- Why not take a closer look at cookies? --> 然后flag.php里是一个输入框,输入什么它就会回显什么。这时候看看cookie,发现突然多了user: 说明这个页面是根据cookie里的user来回显的。经过尝试,这里存在模板注入。 其实这题cookie没啥
Web安全Cookie管理
brizer的博客
09-09 2249
前面我们讲到过XSS攻击,其原理就是利用脚本读取用户的Cookie从而造成用户信息泄露。这里我们要介绍Cookie的几个关键属性值HttpOnly、Secure及其用法。HttpOnly该属性值的作用就是防止Cookie值被页面脚本读取。一个没有设置HttpOnly的Cookie:setcookie('name','lf');效果如下: 这段代码就可能被攻击者用脚本来获取,所以我们应该为Cooki
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3857
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
java cookie安全,Java Web应用程序中会话cookie安全标志
weixin_42177768的博客
02-16 207
I'm trying to add the secure flag to the session cookie in a Java web application. The standard approach however presents a problem, in that when secure is true, even http requests will get the secure...
浅谈cookie安全
xxx9686的博客
09-16 1698
对于cookie的实现,标准化是有一定安全问题的,所以在web应用实现cookie的同时,要注意各个方面的问题,不仅仅是对身份认证的盗取,可能还会有一些特殊场景下的cookie覆盖的危害。曾经有人就利用这种覆盖cookie的方法,对google进行了攻击,当登录了google的账号之后,使用者的搜索历史记录就会被记录在账号中,攻击者利用xss对cookie进行覆盖,受害者不知情的情况下,所有的操作都被记录到攻击者的账号中。由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。
cookie简单实用的使用方法
Universe — Higher and farther
03-09 9093
cookie的由来:             在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放入用户B或用户C的购物车内,这不属于同一个会话。
WEB安全:什么是CookieCookie数据泄漏的危害
weixin_33816946的博客
04-06 2990
一、什么是Cookie 简单来说,Cookie是网站在用户浏览器中保存下来的一份个人信息,有了Cookie,用户下次访问该网站时就可以免输入用户名甚至密码了(比如登陆淘宝网,用户名一栏就自动填充了,而为了安全,密码是必须的),因网站而异。另外,用户使用账号登陆网站后,要靠Cookie来维持会话Session,以保持在线状态,一旦清空当前网站对应的所有Cookie数据,用...
Cookie没有HttpOnly标志设置 -- Cookie没有安全标志设置
热门推荐
loki的博客
11-21 1万+
漏洞扫描-- Cookie没有HttpOnly标志设置 java设置session配置: yml文件配置: server: session: cookie: http-only: true 或者properties文件配置: server.session.cookie.http-only=true    ...
WEB跨站脚本和cookie(httponly-cookie设置)安全了解
mike_caoyong的专栏
11-24 8308
【常见Web应用安全问题Web应用程序的安全问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人
【常见Web应用安全问题---6、Script source code disclosure
weixin_34128839的博客
12-22 482
Web应用程序的安全问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
react Set-cookie web 问题
最新发布
03-09
<think>好的,我现在需要解决用户关于React、Set-CookieWeb问题的提问。首先,我需要明确用户具体遇到了什么问题。React作为前端框架,与后端设置Cookie相关的问题可能涉及跨域、安全策略或HTTP头配置等方面。 首先,我应该回忆一下Cookie的设置机制。Set-Cookie是HTTP响应头中的一个字段,服务器通过它来让浏览器存储Cookie。但现代浏览器由于安全策略,如CORS和SameSite属性,可能会阻止某些情况下的Cookie设置。 用户可能遇到的问题是,在使用React前端应用时,后端API返回的Set-Cookie头没有生效,导致Cookie未被浏览器存储。这通常发生在跨域请求的情况下。比如,前端运行在http://localhost:3000,而后端在http://localhost:8080,这时候属于跨域,需要配置CORS相关的响应头,如Access-Control-Allow-Origin,并且可能需要设置credentials: 'include'在前端的fetch或axios请求中。 同时,SameSite属性也是一个关键点。Chrome等浏览器默认将SameSite设置为Lax,这限制了跨站请求中Cookie的发送。如果用户的后端没有正确设置SameSite=None和Secure,可能导致Cookie不被存储或发送。此外,Secure属性要求使用HTTPS,如果在本地开发中使用HTTP,可能需要暂时关闭这个限制,但生产环境必须使用HTTPS。 另外,React本身作为客户端框架,可能通过XHR或Fetch API发送请求,这时候需要确保withCredentials设置为true,以便携带Cookie。同时,后端需要允许跨域请求的凭证,即Access-Control-Allow-Credentials: true,并且Access-Control-Allow-Origin不能使用通配符*,必须指定明确的域名。 可能还需要检查响应头的其他部分,比如是否存在多个Set-Cookie头导致冲突,或者Cookie的Path、Domain属性是否正确配置。此外,某些浏览器如Safari对第三方Cookie的限制更严格,可能需要额外处理。 总结下来,用户的问题可能涉及以下几个解决步骤:检查CORS配置,确保前后端允许跨域和凭证;设置SameSite和Secure属性;前端请求正确携带凭证;以及确保使用HTTPS(生产环境)。同时,浏览器的开发者工具中的网络面板可以查看详细的请求和响应头,帮助调试问题所在。</think>关于React应用中遇到的`Set-Cookie`相关问题,以下是逐步解析与解决方案: --- ### 一、问题背景 在Web开发中,**React前端应用与后端API交互时**,可能遇到以下问题- 后端返回的`Set-Cookie`响应头未生效(浏览器未存储Cookie- 跨域请求中Cookie丢失 - 安全策略(如SameSite、Secure属性)导致Cookie被阻止 --- ### 二、核心原因分析 #### 1. 跨域问题(CORS) - **现象**:前端(`http://localhost:3000`)请求后端(`http://api.example.com`)时,浏览器因跨域限制拒绝存储Cookie- **必要条件**: - 后端需设置`Access-Control-Allow-Origin: 前端域名`(不能为`*`) - 后端需设置`Access-Control-Allow-Credentials: true` - 前端请求需添加`credentials: 'include'` #### 2. Cookie安全属性 - **SameSite**: - 默认值`Lax`会阻止跨站Cookie,需显式设置为`SameSite=None; Secure` - 必须搭配HTTPS(本地开发可通过`Secure=false`临时绕过,但生产环境禁止) - **Secure**:若使用HTTPS,Cookie必须标记为`Secure` #### 3. 前端配置 - **Fetch API**需明确携带凭证: ```javascript fetch(url, { method: 'POST', credentials: 'include' // 必须 }); ``` - **Axios**需设置`withCredentials`: ```javascript axios.get(url, { withCredentials: true }); ``` --- ### 三、解决方案步骤 #### 1. 后端配置(以Node.js为例) ```javascript // 允许跨域和凭证 app.use(cors({ origin: 'http://localhost:3000', // 指定前端域名 credentials: true })); // 设置Cookie属性 res.cookie('token', 'value', { httpOnly: true, secure: process.env.NODE_ENV === 'production', // 生产环境强制HTTPS sameSite: process.env.NODE_ENV === 'development' ? 'Lax' : 'None' }); ``` #### 2. 前端配置 - **React请求示例**: ```javascript // 使用fetch fetch('https://api.example.com/login', { method: 'POST', credentials: 'include', headers: { 'Content-Type': 'application/json' } }); // 使用axios axios.post('https://api.example.com/login', data, { withCredentials: true }); ``` #### 3. 本地开发临时方案 - **禁用浏览器安全策略(仅调试)**: ```bash # Chrome启动参数(Mac/Linux) google-chrome --disable-web-security --user-data-dir=/tmp/chrome-test ``` --- ### 四、验证与调试 1. 打开浏览器开发者工具(F12) 2. 在**Network**标签中检查请求头: - 确认存在`Cookie`请求头 3. 检查响应头: - 确认`Set-Cookie`包含正确的`SameSite`和`Secure` - 确认`Access-Control-Allow-*`头配置正确 --- ### 五、常见错误 - **无效配置**:`Access-Control-Allow-Origin: *`与`credentials: true`冲突 - **混合协议**:前端HTTP访问后端HTTPS时`Secure`属性失效 - **浏览器缓存**:旧Cookie策略未清除,需手动删除Cookie --- 通过以上步骤,可系统性解决React与`Set-Cookie`相关的Web问题。若问题仍存,建议提供具体代码片段和请求头截图进一步分析。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值