前端能对 Cookie 进行加密吗?
我最近在做登录功能,后端返回的 token 存在 Cookie 里,但听说 Cookie 容易被窃取,想自己加密一下。可是前端加密真的有用吗?比如用 CryptoJS.AES.encrypt 加密后再存,会不会反而更不安全?
我试过这样存:
const encrypted = CryptoJS.AES.encrypt(token, 'my-secret-key').toString();
document.cookie = <code>auth=${encrypted}; path=/; secure; samesite=strict</code>;但感觉密钥写在前端代码里,谁都能看到,等于没加密……是不是应该完全交给后端处理?前端到底能不能/该不该加密 Cookie?
- 2
回答
90浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 1
回答
32浏览
设置 SameSite=Strict 的 Cookie 后,Vue 前端还能正常发送 CSRF Token 吗?
我在后端设置了带 SameSite=Strict 的 CSRF Cookie,但前端用 Vue 发请求时好像拿不到这个 Cookie,导致 CSRF Token 传不上去。我试过在 axios 请求里...
- 1
回答
63浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
- 2
回答
91浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 2
回答
98浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
- 2
回答
17浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在做登录功能时设置了 Cookie,但对 Domain 属性有点拿不准。比如我的前端是 app.example.com,后端 API 是 api.example.com,想让 Cookie 能在两个...
- 1
回答
38浏览
前端设置 Cookie 时如何确保安全策略正确生效?
我在做登录功能时,后端返回了 Set-Cookie 头,但我发现即使加了 SameSite=Strict 和 Secure,本地开发环境(http)下 Cookie 还是没法被设置。是不是因为本地没用...
- 1
回答
47浏览
前端怎么防止 Session 被劫持?Cookie 设置对了吗?
我最近在做登录功能,后端返回了 Set-Cookie 头,但我担心被 XSS 或中间人攻击偷走 Session。我看文档说要加 HttpOnly 和 Secure,但本地开发用的是 http,加了 S...
- 1
回答
31浏览
前端如何防止Cookie被劫持?
我最近在用Vue做登录功能,后端返回的session cookie好像没加安全属性,担心会被XSS或者中间人攻击偷走。试过在axios里加withCredentials,但不知道前端能不能主动设置co...
- 1
回答
41浏览
前端设置Cookie时如何确保安全策略正确生效?
最近在用Vue做登录功能,后端返回了Set-Cookie头,但我发现浏览器里存的Cookie没有HttpOnly和Secure标志,担心有XSS风险。我试过在axios请求里加withCredenti...
Cookie的安全靠的是
HttpOnly(防XSS)、Secure(HTTPS传输)、SameSite(防CSRF)这些属性,以及后端对敏感数据的加密存储。传输层用HTTPS就足够了,别在前端做无用功。