web安全问题-cookie
2023-02-18 16:29:45 时间
web安全问题 cookie
1.cookies只能设置过期 不能删除
<script>
now.toGMTString() => 事件可以用来设置cookie
document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx")
</script>
2.Cookies-登录用户凭证
- 用户ID
- 用户ID + 签名
3.xss和cookies
- xss可能偷取cookies
- http-only的cookie不会被偷
4.cookies和csrf关系
- csrf利用用户cookie
- 攻击站点无法读写Cookies
- 最好阻止第三方使用Cookies samesite
5.cookies安全案例
- cms系统
- cms使用username作为唯一用户标识
- cms文章作者暴露了username
- 可以使用任意username登录后台
- 某论坛使用asp bbs
- 使用用户ID作为用户标识
- 可伪造任何登录
7.cookies安全策略
- 签名防止篡改
- 私有变换(加密)
- http-only (防止xss)
- secure
相关文章
- 微信公众平台网页登录授权多次重定向跳转,导致code使用多次问题
- Visual Studio高效实用的扩展工具、插件
- 关于微信企业付款到零钱X509Certificate2读取证书信息,发布到服务器访问不到的解决方案
- 关于ASP.NET MVC 项目在本地vs运行响应时间过长无法访问时,解决方法!
- 彻底关闭windows10自动更新解决方案
- Window10升级遇到大坑错误代码:0xc000000e完美解决方案
- ASP.NET MVC默认配置如有跳转到指定的Area区域中的对应程序中
- 使用MySQLl事件定时执行岗位七天下线任务
- .NET之微信消息模板推送
- 关于Layer web弹层组件的加载(loading)层位置居中问题
- 微信公众号支付提示mch_id参数格式错误
- C#常见金额优选类型及其三种常用的取整方式
- .NET微信网页开发之通过UnionID机制,解决用户在不同公众号,或在公众号、移动应用之间帐号统一问题
- Mui Webview下来刷新上拉加载实现
- Select下拉框使用ajax异步绑定数据
- .NET、C#基础知识
- 记一个数据库游标的实例
- .NET 使用OLEDB导入Excel数据
- 通用分页存储过程,干货无污染
- .NET如何引用System.Drawing.Drawing2D 命名空间和System.Drawing.Image及其相关概念