Cookies

cookies 特性

  • 前端数据存储
  • 后端通过 HTTP 头设置
  • 请求时通过 HTTP 头传给后端
  • 前端可读可写
  • 遵守同源策略
    • 域名
    • 有效期
    • 路径
    • http-only
    • secure(https)

cookies 作用

  • 存储个性化设置
  • 存储未登录时用户唯一标识
  • 存储已登录用户的凭证
  • 存储其他业务数据

Cookies-登录用户凭证

  • 前端提交用户名和密码

  • 后端验证用户名和密码

  • 后端通过 http 头设置用户凭证

  • 后续访问时后端先验证用户凭证

  • 验证用户 ID

  • ID+签名

生成复杂字符串

var crypt = {}

const KET = '#$%489!#$%&*156sd'

crypt.cryptUserId = function(userId){

    var crypto = require('crypto);

    var sign = crypto.createHmac('sha256,KEY');

    sign.updata(userId + '');

    return sign.digest('hex');

}

module.exports = crypt;

进行设置

//登陆成功,设置Cookies

ctx.cookies.set("sign", crypt.cryptUserId(user.id), {

  httpOnly: false,

  sameSite: "strict"

});

ctx.cookies.set("userId", user.id, {

  httpOnly: false,

  sameSite: "strict"

});

验证

var userId = ctx.cookies.get("userId");

var sign = ctx.cookies.get("sign");

var correctSign = crypt.cryptUserId(userId);

if (correctSign !== sign) {

  throw new Errow("报告,有人入侵");

}

上面代码,可防御,篡改的 UserId 的入侵

  • SessionId

sessionId 为随机生成的字符串,第三方拿不到,就无法入侵

生成复杂字符串

var session = {};

session.set = function(userId, obj) {

  var sessionId = Math.random();

  if (!cache[sessionId]) {

    cache[sessionId] = {};

  }

  cache[sessionId].conntent = obj;

  return sessionId;

};

session.get = function(userId) {

  return cache[session] && cache[sessionId].content;

};

module.exports = session;

进行设置

var sessionId = session.set(user.id, {

  userId: user.id

});

ctx.cookies.set("sessionId", sessionId, {

  httpOnly: ture,

  sameSite: "strict"

});

验证

var sessionId = ctx.cookies.get("sessionId");

var sessionObj = session.get(sessionId);

if (!sessionObj || !sessionObj) {

  throw new Error("session不存在");

}

var userId = sessionObj.userId;

sessionId 需要持久化,存入数据库,因为内存是有限的。都存在内存中,服务器会出问题

Cookies 其他

  • Cookies 与 XSS 的关系

    • XSS 可能偷取 Cookies
    • http-only 的 Cookies 不会被偷

  • Cookies 与 CSRF 的关系

    • CSRF 利用了用户 Cookies
    • 攻击站点无法读写 Cookies
    • 最好能阻止第三方使用 Cookies

  • Cookies 安全案例

    • 某学校教务处

      • 某学校教务系统使用了开源的 CMS
      • 改 CMS 使用 username 作为唯一用户标识
      • 改 CMS 文章作者暴露了 username
      • 可使用任意的 username 登录后台
    • 某论坛
      • 某论坛使用了某开源的 ASP BBS 程序
      • 改 ASP 程序使用用户 ID 作为用户标识
      • 可伪造任意用户登录

Cookies-安全策略

  • 签名防篡改
  • 私有变换(加密)
  • http-only(防止 XSS)
  • secure(仅允许 https 协议下使用 Cookies)
  • same-site(很好地策略,但不是所有浏览器都支持)

加密与解密

npm install crypto

var crypto = require("crypto");

var KEY = "#$%^156ssc#$%";

var cipher = crypto.createCipher("des", KEY);

var text = cipher.update("hello word", "utf8", "hex");

text += cipher.final("hex");

console.log(text);//加密后的

var decipher = crypto.createDecipher("des", KEY);

var originalText = decipher.update(text, "hex", "utf8");

console.log(originalText);//原来的

前端的Cookies的更多相关文章

  1. 前端网络安全——Cookies

    一.Cookies特性 1.前端数据存储 2.后端通过http头设置 3.请求时通过http头传给后端 4.前端可读写 5.遵守同源策略 二.Cookies内容 1.域名 2.有效期,删除cookie ...

  2. [Web前端]由cookies安全说开去

    在Web应用中,Cookie很容易成为安全问题的一部分.从以往的经验来看,对Cookie在开发过程中的使用,很多开发团队并没有形成共识或者一定的 规范,这也使得很多应用中的Cookie成为潜在的易受攻 ...

  3. 前端使用crypto.js进行加密

    前端使用crypto.js进行加密 https://www.cnblogs.com/lz2017/p/8046816.html   最近我在前端使用Cookies保存密码的时候需要前端来进行加密工作, ...

  4. >>我要到处浪系列 之 JS随便投票小脚本

    首先郑重声明:我不是对任何网站或者任何个人或组织有意见,仅仅是觉得 4点几 的评分对某些玩票的片段都太高了,为了落实想法,切实履行公民的投票权,并且 bibibabibobi biubiubiu..所 ...

  5. Flask - 请求响应 | session | 闪现 | 请求扩展 | 中间件

    请求响应 flask的请求信息都在request里 flask的响应方式有四剑客,也可以自定义响应 请求相关信息 # request.method 提交的方法 # request.args get请求 ...

  6. koa 实现session登陆

    在我们访问一些网站内部内容的时候,通常都会先验证我们是否已经登陆,如果登陆了就跳转到内容页面否则就跳转或者弹出登陆页面. 但是HTTP协议是没有状态的协议,无法标识一个用户的登录状态. 于是Cooki ...

  7. 项目前端 - vue配置 | axios配置 | cookies配置 | element-ui配置 | bootstrap配置

    vue项目创建 环境 1.傻瓜式安装node: 官网下载:https://nodejs.org/zh-cn/ ​ 2.安装cnpm: >: npm install -g cnpm --regis ...

  8. cookies,sessionStorage和localStorage的区别---web前端sessionStorage和localStorage区别

    sessionStorage用于本地存储一个会话(session)中的数据,这些数据只有在同一个会话中的页面才能访问并且当会话结束后数据也随之销毁.因此sessionStorage不是一种持久化的本地 ...

  9. 【干货分享】前端面试知识点锦集01(HTML篇)——附答案

    一.HTML部分 1.浏览器页面有哪三层构成,分别是什么,作用是什么? 构成:结构层.表示层.行为层分别是:HTML.CSS.JavaScript作用:HTML实现页面结构,CSS完成页面的表现与风格 ...

随机推荐

  1. [洛谷P4097] [HEOI2013] Segment

    Description 要求在平面直角坐标系下维护两个操作: 1.在平面上加入一条线段.记第 \(i\) 条被插入的线段的标号为 \(i\) 2.给定一个数 \(k\) ,询问与直线 \(x = k\ ...

  2. 【杂项】各类文件头结合winhex使用-转载

    ———常用文件头——— JPEG (jpg),文件头:FFD8FFE1 PNG (png),文件头:89504E47 (0D0A1A0A) GIF (gif),文件头:47494638 ZIP Arc ...

  3. python类型-字典

    字典是python语言中唯一的映射类型,映射对象里哈希值(键,key)和指向的对象(值,value)是一对多的关系.一个字典对象是可变的,是一个容器类型,可存储任意个数的python对象,其中也可以包 ...

  4. HGE引擎改进——2014/1/27

    2014/1/27 更新 hge库: 1.增加回调函数procResizeFunc(),这个函数会在窗口大小改变时调用,不是必要函数 2.修复LOG信息显示为乱码的错误 项目主页:https://co ...

  5. .net core 认证与授权(三)

    前言 在写三上是在一的基础上写的,所以有没有看过二是没得关系的,在一中介绍了认证与授权,但是没有去介绍拿到证书后怎样去验证授权. 概念性东西:在这套机制中,把这个权限认证呢,称作为policy.这个p ...

  6. HanLP《自然语言处理入门》笔记--6.条件随机场与序列标注

    笔记转载于GitHub项目:https://github.com/NLP-LOVE/Introduction-NLP 6. 条件随机场与序列标注 本章介绍一种新的序列标注模型条件随机场.这种模型与感知 ...

  7. Spring 依赖注入两种方式

    (1):通过 setter 方法注入: <property name=“ ” ></property> 其中,name属性的取值依setter方法名而定,要求这个类里面这个对应 ...

  8. WeChall_ Training: Stegano I (Training, Stegano)

    This is the most basic image stegano I can think of. 解题: 一张小图片,文本方式打开.

  9. HDU_1176_DP

    http://acm.hdu.edu.cn/showproblem.php?pid=1176 简单dp,转换后跟上一题数塔一样,注意每秒只能移动一格,还有在边缘的情况. #include<ios ...

  10. How to do if sqlserver table identity column exceed limited ?

    script: select a.TABLE_NAME,a.COLUMN_NAME,a.DATA_TYPE, (CASE a.DATA_TYPE when 'int' then 'limited be ...