React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但还是被攻击者窃取了会话。这是怎么回事呢?
我的登录成功后设置Cookie的代码是这样的:
// 使用js-cookie库设置Cookie
import Cookies from 'js-cookie';
const handleLogin = (session) => {
Cookies.set('session_id', session.id, {
expires: 7,
secure: true,
httpOnly: true
});
// 其他逻辑...
};
但测试时用document.cookie居然还能读到这个Cookie值,难道HttpOnly没生效?明明设置了Secure属性,为什么在本地开发环境(http://localhost)也能设置成功?有没有其他防范Session劫持的方法?
- 1
回答
19浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
- 1
回答
5浏览
Vue项目中如何防止Cookie被劫持导致会话劫持?
我在用Vue做登录功能时发现,用js-cookie保存token的Cookie没设置HttpOnly,这样会不会容易被XSS攻击导致Session劫持? // 登录成功后设置Cookie的代码 met...
- 2
回答
31浏览
React组件如何检测自身是否被嵌入iframe防止点击劫持?
我在开发一个React仪表盘组件时遇到点击劫持问题,第三方页面用iframe嵌入我的组件后完全覆盖透明层实施攻击。我尝试在组件中添加: componentDidMount() { if (window...
- 1
回答
34浏览
如何防止Cookie被窃取导致Session劫持?
我在开发一个Vue+Node.js的项目时,给Cookie设置了Secure和HttpOnly,但测试时发现通过XSS漏洞依然能获取到Session值。比如用户访问恶意链接后,控制台会执行这段代码: ...
- 1
回答
4浏览
React组件直接渲染URL参数时如何防范DOM型XSS攻击?
我在做搜索功能时遇到个问题,用户输入的搜索词会通过URL参数保存,然后用React组件显示出来。但测试时发现如果在地址栏输入类似search?query=<script>alert(1)&...
- 1
回答
8浏览
Figma变体状态如何动态绑定到React组件的props?
我在Figma里用Variants给按钮创建了hover和active状态,导出到React组件后,尝试通过props切换状态,但一直显示默认样式。试过用variant="hover",也检查过导出的...
- 1
回答
18浏览
uni-app中React组件如何正确监听页面滚动事件?
在用uni-app开发时遇到了滚动监听问题。我在页面里写了一个React组件,想通过uni的onPageScroll方法获取滚动位置,但滚动时数值没有变化,甚至出现重复回调。 尝试过这样写代码: co...
- 1
回答
9浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
- 1
回答
17浏览
移动端React输入框的value被键盘劫持篡改怎么办?
在开发React登录页时,密码输入框的value突然被改成奇怪字符,明明设置了受控组件: function Login() { const [password, setPassword] = useS...
- 1
回答
7浏览
React组件库升级后旧项目报错,如何管理组件版本兼容性?
最近在维护一个React组件库时遇到问题,新版本升级后旧项目报错说「Property 'xxx' does not exist on type 'IntrinsicAttributes'」。我尝试在p...
正确的做法是让后端在登录成功时通过Set-Cookie响应头来设置:
Set-Cookie: session_id=abc123; HttpOnly; Secure; SameSite=Strict
再给你几个建议:检查一下你的XSS防护措施是否到位,Content-Security-Policy头要设置好,别让恶意脚本有机可乘。还有把session存储方式从Cookie换成token,用localStorage存,读取时加个签名验证。
你看你这段代码:
这里有个致命误解 —— js-cookie 的 httpOnly 选项只是个“占位符”,它不会让 Cookie 变成真正不可被 JS 读取的 HttpOnly 类型。实际上前端 JavaScript 根本没权限创建 HttpOnly Cookie,这是浏览器安全机制决定的。
所以你在控制台执行 document.cookie 还能看到 session_id?说明这个 Cookie 根本就没被设成 HttpOnly,攻击者一旦触发 XSS 就能轻松盗走。
正确做法是:登录成功后,由后端接口通过 Set-Cookie 响应头下发带有完整安全属性的 Cookie,比如:
注意这几个关键点:
- HttpOnly 阻止 JavaScript 访问
- Secure 确保只在 HTTPS 下传输(本地开发时浏览器对 localhost 放宽限制,所以你看到能设成功)
- SameSite=Strict 或 Lax 可有效防范 CSRF
另外别把安全全压在 Cookie 上,建议加上用户指纹绑定,比如把 session 和 User-Agent、IP 地址哈希一起存服务端做校验。即使 Cookie 被窃取,攻击者也难以直接复用。
总结一下:别走弯路了,赶紧把 session_id 的设置逻辑移到后端去,前端只负责跳转或接收 token 状态,别再用 js-cookie 存敏感会话标识了。