怎样在服务器端防止cookie被复制后的自动登录

最新推荐文章于 2025-06-29 21:35:58 发布
原创 最新推荐文章于 2025-06-29 21:35:58 发布 · 1.4k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文探讨了软件开发中的安全策略,如记录IP验证、设置cookie有效期、CSRF防护、Referer检查等,以防止URL携带Cookie被复制后进行未经授权的自动登录。重点介绍了Http-Only和CSRF的概念及其应用,确保用户信息安全。

   软件设计开发时,安全永远排在第一位,那么如何防止一个url携带cookie被复制后的自动登录,我总结一下几点:

  1. 记录ip地址,当ip更换时,调整登录页
  2. cookie添加有效期
  3. 修改密码后要重新登录
  4. 防止XSS攻击,可以将Http-Only设置为True。可以参考:https://tech.meituan.com/2018/09/27/fe-security.html
    什么是Http-Only:https://blog.csdn.net/qq_43348375/article/details/109330715
  5. 一些站点会按照浏览器的UA信息或者是客户端的IP地址来生成一个签名串,每次回去比对这个签名串是否正确,如果网络环境发生了变化,即便是相同的cookie也会要求你重新登陆一下的
  6. CSRF(Cross Site Request Forgery)即跨站请求伪造。就是利用后台有规律的接口,例如 localhost/deleteAriticle.php?id=3&username=xiaoxiao ,攻击者在被攻击的网站页面嵌入这样的代码,当用户xiaoxiao访问该网站的时候,会发起这条请求。服务器会删除id为3的数据。
    客户端防范:对于数据库的修改请求,全部使用POST提交,禁止使用GET请求。
    服务器端防范:一般的做法是在表单里面添加一段隐藏的唯一的token(请求令牌)。参考:https://zhuanlan.zhihu.com/p/22521378

    配置CsrfFilter
    假如:一家银行用以运行转账操作的URL地址如下:http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName。那么,一个恶意攻击者可以在另一个网站上放置如下代码: <img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">
  7. 如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。
  8. 检查Referer字段,HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下
  9. 关键性事务操作添加验证码

防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1783
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
防止cookie被盗用
AlgorithmHero的博客
08-21 1392
在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。在设置 Cookie 时,使用 HttpOnly 标志可以防止 JavaScript 访问 Cookie,从而减少 XSS 攻击的风险。通过设置 Cookie 的 Domain 属性,可以限制 Cookie 只在特定的域名下有效,减少跨站点攻击的风险。尽量避免使用过于宽泛的域名。在开发应用时,采用安全的编码和开发实践,以减少漏洞的可能性,包括 XSS 和 CSRF 攻击。
如何预防cookie被盗用
James_liPeng的博客
12-29 1096
虽然方式1能防止攻击者通过javascript脚本的方式窃取cookie,但是没办法防止攻击者通过fiddler等抓包工具直接截取请求数据包的方式获取cookie信息,这时候设置secure属性就显得很重要,当设置了secure=true时,那么cookie就只能在https协议下装载到请求数据包中,在http协议下就不会发送给服务器端,https比http更加安全,这样就可以防止cookie被加入到http协议请求包暴露给抓包工具啦。
Cookie 防篡改机制
热门推荐
AdleyTales的技术博客
06-19 1万+
一、为什么Cookie需要防篡改 为什么要做Cookie防篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求,HTTP请求头会带上CookieCookie里面就包含有SessionID。 后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。 服...
Cookie 完全指南:从基础到单点登录应用
最新发布
2401_89221445的博客
06-29 953
Cookie 就像是网站给你的一张"会员卡"。当你访问一个网站时,【服务器】可以通过 Cookie 记住你是谁你的偏好设置,或者你是否已经登录。扩展:一些网站会弹出一个框,问我们是否接受Cookie,接受和拒绝分别会导致什么?【接受Cookie】可以提升网站体验(如记住登录状态、个性化推荐),但可能泄露隐私(如追踪浏览习惯用于广告);【拒绝】则保护隐私但可能导致部分功能受限(如每次需重新登录)。根据你对隐私和便利的权衡决定即可。SSO全局Cookie:相当于"护照",证明你已通过中央认证。
Cookie 和 Session的区别
weixin_58032613的博客
03-23 2363
Cookie 和 Session的区别
python接口自动化之cookie,session,token鉴权解决方案
????????️的博客
04-28 4525
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie鉴权 1、什么是cookiecookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 3、如何查看cookie name,value、domain、path、express、size 4、cookie如何实现鉴权(原理) 当客户端第一次访问服务器时,那么服务器就会产生cookie
Session与Cookie关系详解,解决方案Token
2401_83144588的博客
05-15 1762
默认:session 信息通常存储在服务端内存中,适合单服务器环境。多服务器部署:内存存储会导致 session 不相通,需采用集中式存储(Redis、数据库)、sticky session、JWT 或 session 复制来解决。推荐方案:在现代分布式系统中,Redis是最常见的 session 存储方案,因其高性能和易用性;对于无状态需求,JWT也是热门选择。
cookie的安全隐患以及防篡改机制
浮生离梦的博客
05-28 6944
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
cookie-攻防世界
szhangliwenya的博客
03-21 818
那么问题来了,总不能每一次客户端的请求都要证明自己是自己吧,所以这里就要引入cookie的概念,用cookie来管理用户的状态,通过cookie让服务端知道这次客户端的请求到底是那个用户发出的,以及当前用户的其他的状态等等。在Web开发中,Session通常用于跟踪用户的活动状态,保存用户的相关信息,如登录状态、购物车内容等。浏览器会存储Cookie,并在之后的请求中将其发送回服务器。因此,在生成Cookie时使用HttpOnly标志有助于降低客户端脚本访问受保护Cookie的风险,增强网站的安全性。
【网络安全】揭秘Cookie伪造的原理、步骤与防御策略
Dylaniou的博客
09-24 1845
1. 安全隐患攻击手段:Cookie伪造是常见的安全隐患,攻击者通过获取用户Cookie信息进行攻击。2. 防范措施增强安全性:采取一系列措施增强Cookie的安全性。
Cookie防伪造
yz18931904的博客
01-17 1603
主要防止非法用户修改cookie信息,以及cookie的超时时间  传统cookie存储,Cookie(name, value),value很容易就被篡改。  防修改cookie存储,Cookie(name, value+“&amp;&amp;”+ signToken+“&amp;&amp;”+saveTime+“&amp;&amp;”+maxTime)  signToken :签名密钥 由md5...
如何保障Cookie的信息安全
Reische的博客
12-29 2293
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器中,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求中扩大 Cookie 的处理策略。
Cookie有哪些安全隐患,如何防范?
长风破浪会有时的博客
05-16 1271
首先,我们要明白Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名、喜欢的设置等。:在公共网络上,比如咖啡馆、图书馆的WiFi,我们的信息更容易被黑客窃取。:首先,我们要为我们的账户设置一个复杂且独特的密码,这样即使黑客偷走了我们的Cookie,他们也很难猜出我们的密码。:我们要确保我们使用的浏览器和访问的网站是安全的,它们会采取额外的措施来保护我们的Cookie和信息。:黑客可能会通过偷走我们的Cookie来假冒我们的身份,进入我们的账户,窃取我们的个人信息。
cookie是什么?如何防范劫持?
摔不死的笨鸟的博客
08-17 2968
Cookie Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We
盗用cookie的目的和防盗cookie的手段
ITWANGBOIT的博客
10-27 1万+
前提 虽然通过使用springsecurity我们防御了会话固定攻击,但是如果黑客等待合法用户登录系统之后,再从合法用户浏览器中拿到名字为JSESSIONID的cookie,然后放入黑客自己的浏览器的cookie中,这样以来当黑客带着盗窃来的JSESSIONID访问系统时,后端系统会根据JSESSIONID找到对应的session,就会把该次请求当成是认证通过的用户发送的请求;这样黑客就可以为所欲为了。 实践 如下图: 经过上图的实践,证明我的分析是合理的,只要能拿到认证通过的用户的cook
防止异地登录的解决思路
hotchange的博客
07-07 1万+
异地登录 同一用户在不同地点同时登录到系统中,即一个账户多地登陆。 防止异地登录的方式 在用户没有禁止cookie的前提下 当用户访问系统的时候,服务器会向浏览器写入一条cookie用来标识用户的信息。(这里主要是因为http协议是无状态的,无法为判断用户信息提供依据) 我们可以通过浏览器自带的开发者工具查看 如:访问 www.baidu.com 我们可以看到co...
IE如何禁止某个特定网站的Cookie
从头再来
05-23 2527
(注:只针对IE哦!!!)         我们经常会去网上下载(查看)一些资源,有的网站可以免费下载,但未登录时次数有限。那么问题来了——没登陆怎么知道我下载(查看)了几次呢?!!答案就是——使用Cookie。所以,为了我们可以无限下载,那就得清除Cookie。那么问题又来了——怎样清除Cookie? 方法一:清除浏览器的所有Cookie,操作步骤如下 至此结束,但
一个利用cookie躲过登录验证的方法
iamzchi
02-06 983
使用电脑1的谷歌浏览器登录账号 安装cookie editor插件,复制开发者工具->应用->cookie中的所有内容 再到电脑2,同样的位置清楚所有cookie内容,再粘贴然后刷新即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值