單獨使用cookie或者token都是不夠安全的。
單獨使用token做驗證:不夠安全,只要xss就會被竊取token,黑客可以隨意執行任何操作。
單獨使用cookie做驗證:會遭遇csrf攻擊
正確的策略:使用cookie,並配置httponly,可以防止被js讀取cookie。設定csrftoken,防止csrf攻擊。設定正確的csp白名單策略,防止xss後讀取csrftoken。
這樣,哪怕被xss得手,還得繼續執行csrf攻擊才能執行特定的操作。
cookie和token的區別
前言 cookie和token都是我們經常用到的,昨天我問我乙個同事,他竟然不知道有啥區別,今天就來做個總結吧!token和cookie一樣都是首次登陸時,由伺服器下發,都是當互動時進行驗證的功能,作用都是為無狀態的http提供的持久機制。token存在哪兒都行,localstorage或者cook...
cookie 和 token 的理解
http協議本身是無狀態的,所以需要乙個標誌來對使用者身份進行驗證 1 cookie 使用者登入成功後,會在伺服器存乙個session,同時傳送給客戶端乙個 cookie 資料需要客戶端和伺服器同時儲存 使用者進行操作時,需要帶上 cookie 在伺服器進行驗證 cookie是有狀態的 2 toke...
cookie和session和token是什麼?
什麼是session?什麼是cookie?什麼是token?1 cookie?由於http是一種無狀態協議,伺服器沒有辦法單單從網路連線上面知道訪問者的身份,為了解決這個問題,就誕生了cookie cookie實際上是一小段的4k文字資訊。客戶端請求伺服器,如果伺服器需要記錄該使用者狀態,就使用re...