前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。
比如我现在登录页的样式是这样:
.login-form {
max-width: 400px;
margin: 2rem auto;
padding: 1.5rem;
border: 1px solid #ddd;
border-radius: 8px;
box-shadow: 0 2px 6px rgba(0,0,0,0.1);
}关键是cookie到底该由谁设置?前端用document.cookie能安全地处理session吗?
- 1
回答
49浏览
如何防止Cookie被窃取导致Session劫持?
我在开发一个Vue+Node.js的项目时,给Cookie设置了Secure和HttpOnly,但测试时发现通过XSS漏洞依然能获取到Session值。比如用户访问恶意链接后,控制台会执行这段代码: ...
- 2
回答
29浏览
React中如何防范Cookie被劫持?我的会话有时会被盗用
我在用React开发登录功能时,发现用户登录后的session_id存放在Cookie里,但最近测试时发现可以通过XSS漏洞直接读取到这个Cookie。虽然设置了HttpOnly和Secure属性,但...
- 1
回答
15浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 1
回答
17浏览
Vue项目中如何防止Cookie被劫持导致会话劫持?
我在用Vue做登录功能时发现,用js-cookie保存token的Cookie没设置HttpOnly,这样会不会容易被XSS攻击导致Session劫持? // 登录成功后设置Cookie的代码 met...
- 2
回答
81浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 2
回答
55浏览
Session固定攻击怎么防?我的登录流程可能有漏洞?
我在开发登录功能时发现,用户登录后会设置session cookie,但测试时发现攻击者可能通过固定session ID来劫持账户。虽然设置了HttpOnly和Secure属性,但测试工具仍能预设se...
- 2
回答
35浏览
Persistent Cookie设置Secure后为何还能被XSS窃取?
我在前端设置了持久化Cookie时添加了Secure; HttpOnly属性,但PenTest工具显示XSS脚本仍能读取到cookie值。测试时发现当页面存在注入点时,攻击者通过document.co...
- 1
回答
29浏览
React中如何验证Cookie数据未被篡改?
我在React项目里用js-cookie设置cookie,但不确定怎么防止别人篡改内容?比如这个登录token: import Cookies from 'js-cookie'; ...
- 2
回答
40浏览
Session绑定后怎么还是被CSRF攻击了?我的实现有问题吗?
我在做用户登录时把sessionID存到cookie里,并在服务端把session和用户ID做了绑定。但测试时发现,攻击页面通过已登录的浏览器发起请求,服务端居然能拿到正确的用户信息。我试过设置coo...
- 2
回答
85浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
document.cookie设置session简直是在玩火。首先明确一点:敏感cookie必须由后端设置!包括session id这种性命攸关的东西。前端能做的只是处理一些无关紧要的cookie,比如UI主题偏好这种。
更好的做法是这样:
1. 后端在Set-Cookie响应头里加上
HttpOnly和Secure(如果是HTTPS),像这样:2. 前端完全不碰这个cookie,所有身份验证通过HTTP头传递。比如用fetch时可以这样:
3. 如果你确实需要在前端保存某些状态,可以用
localStorage存个非敏感token,但别放session id。至于你的CSS样式...和这问题没啥关系,不过既然贴出来了,建议把
box-shadow改成:这样阴影更柔和些,看着舒服点。