前端的Cookies
Cookies
cookies 特性
- 前端数据存储
- 后端经过 HTTP 头设置
- 请求时经过 HTTP 头传给后端
- 前端可读可写
- 遵照同源策略
- 域名
- 有效期
- 路径
- http-only
- secure(https)
cookies 做用
- 存储个性化设置
- 存储未登陆时用户惟一标识
- 存储已登陆用户的凭证
- 存储其余业务数据
Cookies-登陆用户凭证
- 前端提交用户名和密码
- 后端验证用户名和密码
- 后端经过 http 头设置用户凭证
后续访问时后端先验证用户凭证javascript
- 验证用户 ID
ID+签名前端
生成复杂字符串java
var crypt = {}
const KET = '#$%489!#$%&*156sd'
crypt.cryptUserId = function(userId){
var crypto = require('crypto);
var sign = crypto.createHmac('sha256,KEY');
sign.updata(userId + '');
return sign.digest('hex');
}
module.exports = crypt;
进行设置数据库
//登录成功,设置Cookies
ctx.cookies.set("sign", crypt.cryptUserId(user.id), {
httpOnly: false,
sameSite: "strict"
});
ctx.cookies.set("userId", user.id, {
httpOnly: false,
sameSite: "strict"
});
验证npm
var userId = ctx.cookies.get("userId");
var sign = ctx.cookies.get("sign");
var correctSign = crypt.cryptUserId(userId);
if (correctSign !== sign) {
throw new Errow("报告,有人入侵");
}
上面代码,可防护,篡改的 UserId 的入侵c#
- SessionId
sessionId 为随机生成的字符串,第三方拿不到,就没法入侵后端
生成复杂字符串浏览器
var session = {};
session.set = function(userId, obj) {
var sessionId = Math.random();
if (!cache[sessionId]) {
cache[sessionId] = {};
}
cache[sessionId].conntent = obj;
return sessionId;
};
session.get = function(userId) {
return cache[session] && cache[sessionId].content;
};
module.exports = session;
进行设置安全
var sessionId = session.set(user.id, {
userId: user.id
});
ctx.cookies.set("sessionId", sessionId, {
httpOnly: ture,
sameSite: "strict"
});
验证服务器
var sessionId = ctx.cookies.get("sessionId");
var sessionObj = session.get(sessionId);
if (!sessionObj || !sessionObj) {
throw new Error("session不存在");
}
var userId = sessionObj.userId;
sessionId 须要持久化,存入数据库,由于内存是有限的。都存在内存中,服务器会出问题
Cookies 其余
- Cookies 与 XSS 的关系
- XSS 可能偷取 Cookies
- http-only 的 Cookies 不会被偷
Cookies 与 CSRF 的关系
- CSRF 利用了用户 Cookies
- 攻击站点没法读写 Cookies
- 最好能阻止第三方使用 Cookies
- Cookies 安全案例
- 某学校教务处
- 某学校教务系统使用了开源的 CMS
- 改 CMS 使用 username 做为惟一用户标识
- 改 CMS 文章做者暴露了 username
- 可以使用任意的 username 登陆后台
- 某论坛
- 某论坛使用了某开源的 ASP BBS 程序
- 改 ASP 程序使用用户 ID 做为用户标识
- 可伪造任意用户登陆
- 某学校教务处
Cookies-安全策略
- 签名防篡改
- 私有变换(加密)
- http-only(防止 XSS)
- secure(仅容许 https 协议下使用 Cookies)
- same-site(很好地策略,但不是全部浏览器都支持)
加密与解密
npm install crypto
var crypto = require("crypto");
var KEY = "#$%^156ssc#$%";
var cipher = crypto.createCipher("des", KEY);
var text = cipher.update("hello word", "utf8", "hex");
text += cipher.final("hex");
console.log(text);//加密后的
var decipher = crypto.createDecipher("des", KEY);
var originalText = decipher.update(text, "hex", "utf8");
console.log(originalText);//原来的
相关文章
- 1. 【前端安全】Cookies
- 2. cookies前后端操作(前端二)
- 3. 前端须要了解的 Cookies 和 WebStorage
- 4. 前端cookies问题,加密,防篡改
- 5. cookie / 服务端cookies / 本地客户端cookies
- 6. ReactNative 当前url和cookies的获取
- 7. cookies
- 8. Cookies
- 9. COOKIES
- 10. IIS的SameSite Cookies
- 更多相关文章...
- • ASP Cookies - ASP 教程
- • ASP Cookies 集合 - ASP 教程
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
- • Docker容器实战(一) - 封神Server端技术
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
