本文目錄一覽:
- 1、如何防止js獲取cookies值
- 2、如何防止javascript注入攻擊
- 3、關於js用cookie保存帳號和密碼的安全性
- 4、盜用別人的cookies有什麼用,怎樣盜取以及怎樣防範!
- 5、如何有效防止XSS攻擊/AJAX跨域攻擊
- 6、客戶端(javascript)Cookie的引用,安全漏洞如何解決?
如何防止js獲取cookies值
瀏覽器是你自己的,你可以禁用很多功能 比例cookies 腳本 ActionX ····
關掉cookies 操作如下
瀏覽器安全設置 工具—— internet選項 隱私 ——安全級別 調高
如何防止javascript注入攻擊
很多網站都有私信或者留言板功能。登錄用戶可以發表評論或者給其他用戶(包括管理員)發送私信。一個最簡單的模擬表單如下:
form action=”sendmessage.php” method=”post'”
textarea name=”message” /textarea
input type=”submit” value=”send” /
/form
當用戶點擊發送時,這條消息會被保存在數據庫中指定的數據表中,另一個用戶當打開這條消息的時候將看到發送的內容。但是,如果一個惡意攻擊者發送的內容包含了一些javascript代碼,這些代碼用於偷取敏感的cookie信息。當用戶打開看到這條消息的時候,惡意的javascript代碼就會得到執行,造成敏感cookie信息泄漏。攻擊者可以利用獲得這些cookie信息進行session hijacking會話劫持,直接以合法用戶的身份登錄其他用戶的賬戶。
惡意攻擊者可以在消息框中加入一下javascript代碼:
關於js用cookie保存帳號和密碼的安全性
加密是可以的,但是不要用js來做,因為js是客戶端可以查看的,別人查看一下js代碼,然後就可以從cookie裡面還原密碼了。
建議使用md5加密,有服務器腳本對密碼md5之後,設置cookie保存在客戶機瀏覽器裡面,瀏覽器發送登錄信息的時候,如果密碼為空則嚴重md5密碼。
盜用別人的cookies有什麼用,怎樣盜取以及怎樣防範!
你錯了 真的 每個網頁都有代碼 這個代碼是別人加進去的 比如網頁裡面有廣告 還有動畫cookies
加過這些代碼的網頁多的不能再多 內幕人員則用這些代碼來獲取你的cookies 就能知道你在哪上網 上的什麼網頁和多長時間 等等
要想防範就得刪除cookies 但是現在有一種你刪不掉 就是動畫cookies 也就是說 你只能被監測!不管你願不願意
如何有效防止XSS攻擊/AJAX跨域攻擊
1,利用字符過濾漏洞,提交惡意js代碼,當用戶打開頁面時執行
2,需要填寫圖片地址或css等直接在頁面加載時執行的地方,填寫惡意js [javascript:xxxx],當用戶打開包含圖片的頁面時,可以執行js。比如GET s1.game.com/fight/:id 表示發兵到某個用戶,雖然做了用戶驗證,但沒做來源驗證,用戶只需將這個地址發到同用戶的論壇作為圖片地址即可執行
3,通過跳轉頁面漏洞,比如 refer.php?message=xxxx ,頁面上直接用 $_GET[‘message’] 的話,就會造成xss漏洞,把message的參數換成js代碼或惡意網址,即可盜取用戶cookie,或執行惡意js,或跳轉到釣魚頁面等
4,利用瀏覽器或服務器0day漏洞
1,XSS主要是你的頁面可以運行用戶寫的js,所以對所有的用戶提交的數據進行過濾,對於判斷用戶是否登錄狀態的cookie信息進行加密,並且加上Ip信息,這樣基本被盜取也無法獲取登錄權限
2,對update或delete的操作採用post方式提交,每次form里加一個唯一驗證字符串,用hiden方式提交,用於服務器驗證是否來自用戶客戶端
3,跳轉程序需要對傳遞的url進行匹配判斷,只允許特定的格式
4,時常關注安全方面的消息,一有漏洞即刻不上
客戶端(javascript)Cookie的引用,安全漏洞如何解決?
你好,cookies本來就是個不安全的東西,原本設計只是為了更好地和用戶交互,但是使用不當就會總成賬戶信息泄露,甚至賬戶被偽造。cookies可在客戶端被修改,所以不要在cookies里存儲重要的信息,如賬戶信息(用戶密碼、用戶驗證密鑰、用戶隱私資料等)、登陸控制信息(用戶登陸簽證等)、會話信息等。建議將重要的信息保存在服務端,若是全部頁面需要的參數、常數可使用session存儲。
總的來說,應遵循以下原則:
和用戶賬戶相關的信息特別是涉及到安全驗證和安全授權的信息都應保存在服務端,需要有記錄的保存到數據庫,不需要記錄的保存到session。
所有及到安全驗證和安全授權的信息都應保存在服務端!!
僅僅只是改善用戶體驗和用戶交互的可保存在cookies。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/193182.html
微信掃一掃 
支付寶掃一掃 