一、Cookies特性
1、前端資料存盤
2、后端通過http頭設定
3、請求時通過http頭傳給后端
4、前端可讀寫
5、遵守同源策略
二、Cookies內容
1、域名
2、有效期,洗掉cookies是通過更改有效期來實作
3、路徑,可以設定指定頁面路徑層級使用
4、http-only,只提供給http協議使用,即只在發送請求或接收中使用,js是不能使用的,
5、secure,只提供https協議下使用
三、Cookies作用
存盤個性化設定
存盤未登錄時用戶唯一標識
存盤已登錄用戶的憑證,常見做法用戶ID+簽名,SessionId
存盤其他業務資料
Cookies和XSS關系:
XSS可能偷取Cookies,設定http-only的Cookies不會被偷,
Cookies和CSRF的關系:
CSRF利用了用戶Cookies,攻擊站點無法讀寫Cookies,
Cookies安全策略:
1、簽名防篡改
2、私有變換(加密)
3、http-only(防止XSS)
4、secure(防止XSS)
5、same-site(防止CSRF)
放棄安逸,持續努力——成長
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/412926.html
標籤:其他
下一篇:寫單元測驗,我不認為是件容易的事
