cookie带来的致命危险

最新推荐文章于 2025-05-07 08:05:31 发布
最新推荐文章于 2025-05-07 08:05:31 发布
阅读量1.3k 收藏
点赞数
本文探讨了Cookie使用过程中可能遇到的问题,包括HTTP头过大的风险、各浏览器对Cookie大小及数量的具体限制,以及如何通过限制单个Cookie大小、合并Cookie等方式来避免这些问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、危险:当记录了过多的cookie时,可能导致http header过大,进而导致服务器端发生错误,导致用户无法打开页面。

2、cookie限制:

  各浏览器对单cookie键的限制基本都在4kb左右。上下可能有30多b的差别。差别基本不大。

  但对cookie总大小的限制却差别很大。其中chrome和IE8-的允许的总大小最小,为chrome 4997b,IE8-  4096b。因此总大小也基本需要限制在4000b以下。

  个数超出时,firefox采取随机删除的策略,其它浏览器采取先进先出的策略。

  单个cookie大小超出时,所有浏览器都不进行写入。

  总字节数超出时,firefox不进行新的写入,chrome返回400错误

3、如何避免cookie带来的危险

  限制单条的大小

  总大小限制在4000b以下。

  cookie快满时进行报警

  合并cookie,减少cookie数量。

前端面试汇总-JavaScript
分享前端工程化、动效魔法与性能之舞!
06-19 1233
JavaScript共有八种数据类型,分别是 Undefined、Null、Boolean、Number、String、Object、Symbol、BigInt。其中 Symbol 和 BigInt 是ES6 中新增的数据类型:Symbol 代表创建后独一无二且不可变的数据类型,它主要是为了解决可能出现的全局变量冲突的问题。BigInt 是一种数字类型的数据,它可以表示任意精度格式的整数,使用 BigInt 可以安全地存储和操作整数,即使这个数已经超出了 Number 能够表示的安全整数范围。
一篇文章带你使用 Spring Security 完成前后端分离,使用 JSON 进行交互
南淮北安的博客
09-14 7242
文章目录一、无状态登录1. 什么是有状态2. 什么是无状态3. 如何实现无状态4. 各自优缺点二、登录交互1, 前后端分离的数据交互2. 登录成功3. 登录擦除三、未认证处理方案四、注销登录五、代码 一、无状态登录 1. 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 sessi
Cookie的弊端
09-11 214
优点: 极高的扩展性和可用性 1) 数据持久性。 2) 不需要任何服务器资源。 Cookie 存储在客户端并在发送后由服务器读取。 3) 可配置到期规则。 控制 cookie 的生命期,使之不会永远有效。偷盗者很可能拿到一个过期的 cookie 。 4) 简单性。 基于文本的轻量结构。...
WEB安全:什么是CookieCookie数据泄漏的危害
weixin_33816946的博客
04-06 2973
一、什么是Cookie 简单来说,Cookie是网站在用户浏览器中保存下来的一份个人信息,有了Cookie,用户下次访问该网站时就可以免输入用户名甚至密码了(比如登陆淘宝网,用户名一栏就自动填充了,而为了安全,密码是必须的),因网站而异。另外,用户使用账号登陆网站后,要靠Cookie来维持会话Session,以保持在线状态,一旦清空当前网站对应的所有Cookie数据,用...
Cookie有哪些安全隐患,如何防范?
长风破浪会有时的博客
05-16 1074
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
cookie安全性问题
chenpeng0708的博客
04-14 956
cookie安全性问题
使用cookie的利弊
qq_44436509的博客
03-21 940
Web Storage的概念和cookie相似,区别。其他信息如果需要保留,可以放在COOKIE中。将登陆信息等重要信息存放为SESSION。
软件测试规范
张元礼-门道科技创始人|16年IT从业经验(抖音号:mtesting)
12-11 2524
第一部分应用程序测试 第一章界面测试 界面是软件与用户交互的最直接的层,界面的好坏决定用户对软件的第一印象。而且设计良好的界面能够引导用户自己完成相应的操作,起到向导的作用。同时界面如同人的面孔,具有吸引用户的直接优势。设计合理的界面能给用户带来轻松愉悦的感受和成功的感觉,相反由于界面设计的失败,让用户有挫败感,再实用强的功能都可能在用户的畏惧与放弃中付诸东流。 1.1易用性测试...
2.SDL规范文档
weixin_30872337的博客
02-27 2705
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
面试题总结(简答)
weixin_47956764的博客
04-06 1万+
1、对面向对象的系统采用的集成策略有哪些? 答:自顶向下,自底向上两种。 2、比较负载测试、压力测试、容量测试和强度测试的区别? 负载测试:在一定的工作负荷下,系统的负荷及响应时间。通过逐步增加系统负载,最终确定在满足性能指标的情况下,系统能承受的最负载量的测试; 压力测试:在瞬间峰值的压力下,看系统的承受能力,最终确定系统性能在什么样的负载条件下处于崩溃状态; 3、测试计划都包括哪些要点? 答:项目的相关简介、测试范围、测试的参考文档、测试时间的安排、人力资源的分配、系统风险的评估和优先级的定义、缺陷的
总结Cookie安全:安全风险和防范建议
Neonline254的博客
05-23 5919
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 1万+
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
为什么Cookie泄露对“贱人”来说是要命的?
nashviller的专栏
04-09 1237
http://www.sfw.cn/xinwen/index.asp?iID=413047       央视的3.15晚会让一个平时只有Web开发者才知道的术语变得人人皆知了:cookie。但是央视的报导对cookie的介绍并不准确。其中既有夸的部分,也有更的风险没有提到。   既然央视提到了网易,我就以网易为例子来说。我以我的网易邮箱登陆了网易主页,通过浏览器工具看到了网易在我的
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4880
cookies,session,token都是相对安全,并不能完全防窃取
【浏览器访问报错 Request Header Or Cookie Too Large】
热门推荐
weixin_44848382的博客
12-17 1万+
浏览器访问页面报错 错误详情 可能的原因: request header所引起,request过,通常是由于cookie中写入了较的值所引起的。 访问太频繁,浏览器的缓存量太,产生错误。 解决方法: 客户端可以清理cookie缓存; 服务端调整nginx缓冲区小,增加两行 http { client_header_buffer_size 32k; large_client_header_buffers 4 32k; ...... } 重启服务 ...
浏览器的存储
风华绝代的博客
10-12 240
cookie,对于设置的域名,他的子域名,也会被携带cookie document.cookie name1=value1;name2=value2;name3=value3 所有名和值都是 URL 编码的,因此必须使用 decodeURIComponent()解码。 在设置值时,可以通过 document.cookie 属性设置新的 cookie 字符串。这个字符串在被解析后会 添加到原有 cookie 中。设置 document.cookie 不会覆盖之前存在的任何 cookie,除非设置了已有的..
为什么说cookie不可以滥用?
最新发布
王铁柱666的博客
05-07 267
综上所述,为了避免安全风险、性能问题以及提升用户体验和保护用户隐私,前端开发中不应滥用cookie。合理使用和管理cookie对于确保网站的安全性和用户满意度至关重要。
Cookie对象的缺陷与应对策略
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
09-01 4756
在Web开发中,Cookie作为一种重要的客户端数据存储和传输机制,虽然功能强,但也存在一些显著的缺陷和限制。本文将直接聚焦于这些核心问题,并提出相应的应对策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值