Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

浏览器相关 #6

Open
emilyzfive opened this issue May 8, 2021 · 0 comments
Open

浏览器相关 #6

emilyzfive opened this issue May 8, 2021 · 0 comments

Comments

@emilyzfive
Copy link
Owner

cookie 相关字段

name

cookie 名称

value

cookie 值

SameSite

允许服务器要求某个 cookie 在跨站请求时不被发送,由此可以阻止 CSRF。
有三种值:
None-同站请求、跨站请求都发送 cookie;
Strict-只在相同站点时发送 cookie;
Lax-默认值,与 Strict 类似,但用户从外部站点导航至 URL 时(例如通过链接)除外。

HttpOnly

若此属性为 true,则只有在 Http 请求头中会带此 cookie 信息,而不能通过 document.cookie 来访问此 cookie,有助于缓解 xss 攻击

Expires/Max-Age

cookie 失效时间。不设置的话默认值是 Session,意思是 cookie 和 session 一起失效,即当浏览器关闭时,此 cookie 失效

Domain

可以访问此 cookie 的域名

Path

可以访问此 cookie 的页面路径

Size

此 cookie 大小

Secure

标记为 Secure 的 cookie 只应通过被 HTTPS 协议加密过的请求发送给服务端

Priority

设置 cookie 的优先级,可取值为 Low、Medium(默认)、High,移除 cookie 时用到该值
什么情况下会移除 cookie?浏览器存储 cookie 是有限的,比如一个域名下 cookie 的总数量以及单个 cookie 的大小等,当超过限制时,则需要移除 cookie 以容纳新 cookie

CSRF 和 XSS

CSRF

跨站请求伪造,挟制当前用户在当前已登录的 web 应用程序上执行非本意的操作的攻击方式,本质是攻击者欺骗用户去访问紫的设置的地址
防范:
指定 http request head 里的 referer
token 验证

XSS

跨站脚本攻击,是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码
防范:
编码-把字符转义、过滤-移除用户输入的和事件相关的属性、校正-避免直接对 html 字符解码,使用 DOM Parase 转换
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@emilyzfive