首页  思维导图  详情



 



A_117_前端安全认证

2021-04-09 10:52:42   1  举报





AI智能生成

全面、高效的知识图谱：A_117_前端安全认证!! 全面又深度的提升认知，达到实际应用的目的! 建议先纵观全局，掌握好大方向。再根据自己的需要，针对性的学习某一个点，最后做到逐步由点及面。

高效工作方式

组织结构

风格样式

流程图

系统架构

模板推荐

作者其他创作

大纲/内容

SSO

OAuthor 2.0

分支主题

https

OpenID

实际上不属于SSO, 只是一种身份的认证而已。解决的问题是你是谁

问题:

cookie是否可以被跨域读取(内存,本地)?

token

安全验证令牌

客户端存储,每次请求携带

会话cookie

内存

持久cookie

硬盘

存储在硬盘上的cookie可以在不同的浏览器进程间共享

容量限制4k

主要包括：名字，值，过期时间，路径和域

可被读取

广告类站点会使用cookie记录浏览过哪些内容

搜索引擎会使用cookie记录历史搜索记录

生命周期

session cookie

浏览器退出时销毁

persistent cookie/tracking cookie

设置了超时时间的cookie，会在指定时间销毁，cookie的维持时间可以持续到浏览器退出之后

secure cookie

只有通过https协议传输的时候才会带到网络请求中，不加密的http请求不会带有secure cookie

HttpOnly cookie

设置了这个属性的cookie在javascript中无法获取到，只会在网络传输过程中带到服务器

cookie有什么用

session管理

cookie同时也是session id的载体

个性化

用户可以拥有自己的Google自定制主页

user tracking

cookie也可以用于追踪用户行为，例如是否访问过本站点，有过哪些操作等

cookie窃取和session劫持

最基本的cookie窃取方式：xss漏洞

防御根据上面HttpOnly cookie

xss结合phpinfo页面

利用php开发的应用会有一个phpinfo页面。而这个页面会dump出请求信息，其中就包括cookie信息

防御关闭所有phpinfo类dump request信息的页面

XSS + HTTP TRACE = XST

利用xss异步发起trace请求，又可以获取session信息

关闭web server的trace支持来防御XST攻击

HTTP Response Splitting

防御针对header的内容做过滤，不能漏掉\r\n

无需拿到session cookie，跨站发起请求就可以了，这就是CSRF

防御方式：使用anti-forgery token

思路

大部分攻击都是提权行为，最基本的提权通过偷取用户名密码，不成功转而窃取session，窃取不成转而跨站攻击，实在不行重放也可以造成危害

cookie简单操作

cookie记住用户名、密码

cookie自动登录

存

获取用户，密码，保存cookie

MD5加密：用户名+密码+有效时间+webkey(123456)

BASE64编码：用户名+有效时间+MD5加密串(含密码)

存入cookie

取

Base64解码

取出cookie中的用户名,并到数据库中检查这个用户

MD5加密：使用数据库中的用户名+密码+有效时间+ webSiteKey

比对相同,写入Session,自动登陆成功

javaScript 完成cookie 存,取

需前段MD5加密

MD5加密后比对，依然需要后台完成

escape() 编码/unescape() 解码

与encodeURIComponent差别

如密码可暴露在cookie中，则可无需加密. 可也无后台支持，全js完成cookie操作

session

客户端保存 session Id

服务端存储 session

session 存在在服务器的一个文件里（默认），不是内存

session 可以放在文件，数据库，或内存中都可以

载体

cookie(默认)

url重写

表单隐藏字段

场景

用户验证这种场合一般会用 session

注意关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效，不会使服务器端的session对象失效

同一个账户在两个地方登陆，有人在一个地方改了这个账户的密码，另外一个地方还能发微博，web程序的身份认证只认session，无法知道你改了密码。

登录模式

网吧模式

勾选网吧模式后，登录的帐号会在歪歪注销/退出的时候自动清除，不会留在登录框中，可以保护自己的帐号不对外泄露，建议在外地上网时使用，比方网吧或者其他人机器上登录时

记住密码

勾选记住密码后，系统会记住你所登录的帐号和密码，注销后帐号和密码会自动留存在登录框，退出后再登录，帐号、密码会自动出现在登录框。方便下次登录，建议在自己电脑上使用，以免造成不必要的损失

自动登录

记住密码后，再勾选上“自动登录”，这样下次登录时，会默认上次记住的帐号和密码，自动连接登录

特征码

OAuth 1.0

分支主题

OAuth跟OpenID差不多实际不属于SSO范围.是用户身份权限制认证。解决的问题是授权

 Collect

Get Started

WEB认证

 Collect

Get Started

邮箱认证

 Collect

Get Started

安全信息

 Collect

Get Started

手机认证





0 条评论

下一页

A_117_前端安全 认证

A_117_前端安全认证