前端网络安全——Cookies
一、Cookies特性
1、前端数据存储
2、后端通过http头设置
3、请求时通过http头传给后端
4、前端可读写
5、遵守同源策略
二、Cookies内容
1、域名
2、有效期,删除cookies是通过更改有效期来实现
3、路径,可以设置指定页面路径层级使用
4、http-only,只提供给http协议使用,即只在发送请求或接收中使用,js是不能使用的。
5、secure,只提供https协议下使用
三、Cookies作用
存储个性化设置
存储未登录时用户唯一标识
存储已登录用户的凭证,常见做法用户ID+签名,SessionId
存储其他业务数据
Cookies和XSS关系:
XSS可能偷取Cookies,设置http-only的Cookies不会被偷。
Cookies和CSRF的关系:
CSRF利用了用户Cookies,攻击站点无法读写Cookies。
Cookies安全策略:
1、签名防篡改
2、私有变换(加密)
3、http-only(防止XSS)
4、secure(防止XSS)
5、same-site(防止CSRF)
放弃安逸,持续努力——成长
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧