标签：网络安全 XSS Cookies http 前端 存储 only CSRF

一、Cookies特性

1、前端数据存储

2、后端通过http头设置

3、请求时通过http头传给后端

4、前端可读写

5、遵守同源策略

 

二、Cookies内容

1、域名

2、有效期，删除cookies是通过更改有效期来实现

3、路径，可以设置指定页面路径层级使用

4、http-only，只提供给http协议使用，即只在发送请求或接收中使用，js是不能使用的。

5、secure，只提供https协议下使用

 

三、Cookies作用

存储个性化设置

存储未登录时用户唯一标识

存储已登录用户的凭证，常见做法用户ID+签名，SessionId

存储其他业务数据

 

Cookies和XSS关系：

XSS可能偷取Cookies，设置http-only的Cookies不会被偷。

 

Cookies和CSRF的关系：

CSRF利用了用户Cookies，攻击站点无法读写Cookies。

 

Cookies安全策略：

1、签名防篡改

2、私有变换（加密）

3、http-only（防止XSS）

4、secure（防止XSS）

5、same-site（防止CSRF）

 

标签：网络安全,XSS,Cookies,http,前端,存储,only,CSRF
来源： https://www.cnblogs.com/MarsPGY/p/15808289.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。