LOGO OA教程 ERP教程 模切知識(shí)交流 PMS教程 CRM教程 開(kāi)發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

Cookie 安全性問(wèn)題
freeflydom
2025年5月13日 10:20 本文熱度 78

1. 如何實(shí)現(xiàn)安全的 HttpOnly 和 Secure Cookie? ?

?問(wèn)題?:防止 XSS 攻擊竊取 Cookie,同時(shí)確保僅通過(guò) HTTPS 傳輸。
?解決方案?:

  • ?服務(wù)端設(shè)置?(Node.js 示例):

    res.setHeader('Set-Cookie', [
  'token=abc123; HttpOnly; Secure; SameSite=Strict',
  'theme=dark; HttpOnly; Secure; Max-Age=3600'
]);
    • HttpOnly:禁止 JavaScript 訪問(wèn) Cookie。
    • Secure:僅允許 HTTPS 傳輸。
    • SameSite=Strict:阻止 CSRF 攻擊。

?2. 跨域請(qǐng)求如何攜帶 Cookie? ?

?問(wèn)題?:CORS 請(qǐng)求默認(rèn)不發(fā)送 Cookie,需顯式配置。
?解決方案?:

  • ?前端配置?(Axios):

    axios.get('https://api.example.com/data', {
  withCredentials: true  // 允許攜帶 Cookie
});

  • ?服務(wù)端配置?(Nginx):

    add_header 'Access-Control-Allow-Origin' 'https://your-app.com';
add_header 'Access-Control-Allow-Credentials' 'true';

    ?注意?:Access-Control-Allow-Origin 不能為 *。

?3. 如何實(shí)現(xiàn) Cookie 的自動(dòng)續(xù)期? ?

?問(wèn)題?:用戶長(zhǎng)時(shí)間未操作但保持登錄狀態(tài)。
?解決方案?:

  • ?滑動(dòng)過(guò)期時(shí)間?(JWT 示例):

    function refreshToken(oldToken) {
  const newExpiry = Date.now() + 30 * 60 * 1000; // 延長(zhǎng) 30 分鐘
  return jwt.sign({ ...jwt.decode(oldToken), exp: newExpiry }, secret);
}
    • 每次請(qǐng)求驗(yàn)證 Cookie 后,重置過(guò)期時(shí)間。

?4. Cookie 與 LocalStorage 如何選擇? ?

?對(duì)比?:

?特性??Cookie??LocalStorage?
?容量?≤4KB≥5MB
?自動(dòng)傳輸?是(通過(guò)請(qǐng)求頭)
?安全性?可設(shè) HttpOnly/Secure易被 XSS 竊取
?適用場(chǎng)景?會(huì)話管理、身份驗(yàn)證持久化本地?cái)?shù)據(jù)(如主題設(shè)置)

?5. 如何防御 Cookie 劫持? ?

?解決方案?:

  • ?SameSite 屬性?:

    httpCopy Code
Set-Cookie: sessionId=123; SameSite=Lax; Secure
    • Lax:允許同站和導(dǎo)航跳轉(zhuǎn)請(qǐng)求攜帶 Cookie。
    • Strict:完全禁止跨站攜帶7。

  • ?綁定 User-Agent/IP?:

    // 服務(wù)端驗(yàn)證 Cookie 時(shí)檢查 User-Agent
if (req.cookies.token && req.headers['user-agent'] === storedUA) {
  // 允許訪問(wèn)
}

    ?注意?:IP 綁定可能誤傷動(dòng)態(tài) IP 用戶。

?6. 如何實(shí)現(xiàn)分布式系統(tǒng)的 Session 共享? ?

?問(wèn)題?:多臺(tái)服務(wù)器需共享用戶會(huì)話狀態(tài)。
?解決方案?:

  • ?Redis 集中存儲(chǔ)?(Node.js + Redis):

    const session = require('express-session');
const RedisStore = require('connect-redis')(session);
app.use(session({
  store: new RedisStore({ host: 'redis-server' }),
  secret: 'your-secret',
  resave: false
}));
    • 所有服務(wù)器從 Redis 讀寫(xiě) Session。

?轉(zhuǎn)自https://juejin.cn/post/7503390744385519627


該文章在 2025/5/13 10:20:33 編輯過(guò)
關(guān)鍵字查詢
相關(guān)文章
正在查詢...
點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。
點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點(diǎn),圍繞調(diào)度、堆場(chǎng)作業(yè)而開(kāi)發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體,是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。
點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。
點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi),不限功能、不限時(shí)間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved

黄频国产免费高清视频,久久不卡精品中文字幕一区,激情五月天AV电影在线观看,欧美国产韩国日本一区二区
天天做天天爱天天做天天吃中文 | 中文字幕福利在线观看 | 婷婷中文字幕一区二区三区 | 亚洲蜜芽在线精品一区 | 午夜免费看日本女人打野战 | 日本亚洲欧美在线视观看在线观看 |