前端如何防止Cookie被第三方脚本窃取?
我在做登录功能时,后端设置了HttpOnly的Cookie,但还是担心XSS攻击下其他恶意脚本能读取到敏感信息。虽然HttpOnly能阻止JS访问,但如果页面引入了不可信的第三方脚本,会不会有别的泄露风险?
比如我现在这样设置Cookie:
document.cookie = "sessionId=abc123; Path=/; Secure; HttpOnly; SameSite=Strict";但浏览器控制台报错说HttpOnly不能通过JS设置,那正确的做法到底是什么?是不是只能靠后端设置?前端还能做点什么来加强隔离?
- 1
回答
49浏览
前端如何防止Cookie被劫持?
我最近在用Vue做登录功能,后端返回的session cookie好像没加安全属性,担心会被XSS或者中间人攻击偷走。试过在axios里加withCredentials,但不知道前端能不能主动设置co...
- 1
回答
65浏览
第三方Cookie被浏览器拦截了怎么办?
我在做前端开发时,需要从第三方服务(比如一个广告平台)设置Cookie,但发现现代浏览器直接拦截了这些Cookie,导致功能失效。我试过在iframe里加载第三方页面,也设置了SameSite=Non...
- 2
回答
56浏览
前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...
- 1
回答
76浏览
如何防止Cookie被窃取导致Session劫持?
我在开发一个Vue+Node.js的项目时,给Cookie设置了Secure和HttpOnly,但测试时发现通过XSS漏洞依然能获取到Session值。比如用户访问恶意链接后,控制台会执行这段代码: ...
- 2
回答
120浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 1
回答
62浏览
设置 SameSite=Strict 的 Cookie 后,Vue 前端还能正常发送 CSRF Token 吗?
我在后端设置了带 SameSite=Strict 的 CSRF Cookie,但前端用 Vue 发请求时好像拿不到这个 Cookie,导致 CSRF Token 传不上去。我试过在 axios 请求里...
- 1
回答
52浏览
前端设置 Cookie 时如何确保安全策略正确生效?
我在做登录功能时,后端返回了 Set-Cookie 头,但我发现即使加了 SameSite=Strict 和 Secure,本地开发环境(http)下 Cookie 还是没法被设置。是不是因为本地没用...
- 1
回答
63浏览
前端怎么防止 Session 被劫持?Cookie 设置对了吗?
我最近在做登录功能,后端返回了 Set-Cookie 头,但我担心被 XSS 或中间人攻击偷走 Session。我看文档说要加 HttpOnly 和 Secure,但本地开发用的是 http,加了 S...
- 1
回答
60浏览
前端设置Cookie时如何确保安全策略正确生效?
最近在用Vue做登录功能,后端返回了Set-Cookie头,但我发现浏览器里存的Cookie没有HttpOnly和Secure标志,担心有XSS风险。我试过在axios请求里加withCredenti...
- 1
回答
51浏览
前端能对 Cookie 进行加密吗?
我最近在做登录功能,后端返回的 token 存在 Cookie 里,但听说 Cookie 容易被窃取,想自己加密一下。可是前端加密真的有用吗?比如用 CryptoJS.AES.encrypt 加密后再...
后端设置Cookie
首先,确保Cookie的设置完全依赖于后端。前端不应该通过JavaScript来设置包含敏感信息的Cookie,因为这会绕过HttpOnly保护。后端应该这样设置Cookie:
这里
httponly=True确保了Cookie不能被JavaScript访问,secure=True确保了Cookie只能通过HTTPS传输,而samesite='Strict'进一步限制了Cookie的发送条件,有效防止了CSRF攻击。前端安全措施
尽管前端不能直接设置HttpOnly Cookie,但还有一些措施可以减少XSS的风险:
1. 输入验证和过滤:确保所有用户输入都被严格验证和过滤,防止注入攻击。
2. 内容安全策略(CSP):使用CSP来限制哪些资源可以加载到页面上。这样即使存在XSS漏洞,也能限制恶意脚本的行为。
上面的例子中,只有来自同源和
https://trusted.cdn.com的脚本可以被执行。3. 使用子域隔离:将敏感操作放在不同的子域上,利用浏览器的同源策略来增加一层隔离。
4. 定期安全审计:定期进行安全审计和渗透测试,发现并修复潜在的安全漏洞。
通过上述方法,可以在一定程度上减少Cookie被第三方脚本窃取的风险。但请注意,没有任何单一措施可以提供绝对的安全保障,最好的做法是采用多层次的安全策略。
首先你得明白HttpOnly和Secure这两个属性必须由后端设置,PHP里这样写:
前端能做的防护确实有限,但有几个实用技巧:
1. 主题里加个CSP策略头,限制脚本来源,比如这样:
2. 用Subresource Integrity校验第三方脚本,像这样:
3. 实在要用不可信脚本就放到沙盒iframe里,用postMessage通信
还有个骚操作是设置两个cookie:一个HttpOnly的存真实token,另一个普通cookie存随机标识符,前端只读普通那个。不过有点折腾,看项目需求吧。
XSS防护是个系统工程,WordPress核心其实做得不错了,wp_enqueue_script这些API已经帮你处理了很多安全问题。关键还是别手贱乱用eval和innerHTML,第三方脚本能不用就不用,要用也得挑靠谱的。