我希望我的服务有这样一个特性:作者可以完全定制页面,但不能窃取用户的cookie。
用户仍然在每个子域上进行身份验证(如何?
浏览 2提问于2013-04-28得票数 7
2回答
我的问题是,如果我以HTTPS连接托管我的网站,那么该cookie是否仍然可能被攻击者窃取,以便在中间攻击中执行man??那么HTTPS连接中是否还存在这种风险呢?或者如何使其更安全,使攻击者不能窃取cookie?
浏览 3提问于2021-08-23得票数 0
1回答
大多数关于漏洞漏洞的讨论都是关于窃取基于会话的CSRF令牌。但是,如果您可以窃取基于会话的令牌,那么也可以窃取会话令牌本身吗?在浏览器发送csrftoken cookie的所有请求中,浏览器还发送一个sessionid cookie。如果我新发现的理解是正确的,那么答案是微不足道的不。也就是说,只有在HTTP响应体中重复的用户输入与您试图窃取的秘密相同时,攻击才有可能发生吗?
如果这是正确的,那么它是有意义的。您可以窃取CSRF令牌,因为它是由用户输入的(通常是
浏览 0提问于2015-02-27得票数 5
回答已采纳
1回答
我计划使用cookie来跟踪用户会话。我已经把曲奇放在10分钟内过期了。
我的问题是,黑客是否能够在cookie过期之前从用户那里窃取。黑客是否可以更改cookie的过期日期,并在以后使用cookie窃取用户会话。我只是想看看这是否可能,因为我试图保护我的网站。
浏览 6提问于2015-07-31得票数 0
回答已采纳
access-control-allow-credentials: true需要在授权头中设置JWT以请求所有端点还有一个按钮,当单击该按钮时,JWT将被存储为cookie,并且它没有HttpOnly集。我的问题是:是否有可能窃取这样的JWT (现在在cookie中)?
我有点纠结于CORS,CSR
浏览 0提问于2022-12-27得票数 1
回答已采纳
2回答
我将其存储在cookie中,但在iPhone上,它无法工作。当重定向到其他子域时,它会要求提供密码。devCookie = jwtKey+ "=" +jwtValue+ expires + "; path=/ "
document.cookie= devCookie;else {} }
浏览 20提问于2020-09-07得票数 1
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。受害者访问应用程序:
使用某种社交媒体工程让用户点击恶意链接,其中恶意链接使用会话<em
浏览 3提问于2021-01-22得票数 6
1回答
这是如何允许从扩展访问所有cookie的?
这是否意味着,任何扩展都有可能窃取所有的cookie,就像这样简单吗?那么,所有这些是否意味着,任何扩展都可以窃取所有cookie数据并将其发送到任何地方?
浏览 2提问于2016-10-15得票数 0
2回答
我需要弄清楚基于cookie的会话是如何工作的。我正在构建一个应用程序,我在其中对用户进行身份验证,在身份验证成功后,我将标识用户的GUID插入到会话中,然后将其作为cookie持久化。现在,当用户登录时,如何防止有人嗅探流量,窃取用户cookie的内容,并在自己的一端创建cookie,然后以该人的身份登录到我的网站?另一种情况可能是,如果我可以物理访问该用户登录的计算机,我还可以窃取cookie的内容并冒充用户。
浏览 2提问于2012-04-02得票数 1
1回答
当然,cookie可能被窃取,会话被劫持,但是会话cookie的加密本身(在ASP.NET标识中)有多安全?它能用现代的硬件和一点时间来操纵吗?我之所以问这个问题,是因为我想添加一个标识组的声明,但只有在cookie真正安全的情况下才是安全的。否则,攻击者可以注册一个合法的帐户,然后闯入其他组,甚至不窃取密码。
浏览 2提问于2014-02-21得票数 9
回答已采纳
1回答
偷饼干
、、
如果“HTTPS”网站上的cookies缺少“安全”旗帜,是否有可能通过MITM窃取这些饼干?
如果cookies有“安全”标志,是否有可能通过“HTTP”站点通过MITM窃取cookie?
浏览 0提问于2018-06-22得票数 0
回答已采纳
1回答
我的问题是不同的--就像当用户登录时,会话是在服务器上创建的,它向客户端(浏览器)存储一个唯一的id (浏览器),如果我复制加密签名的cookie和其他应用程序用来识别机器、粘贴它或在另一台机器上创建它的任何相关数据
浏览 2提问于2015-01-26得票数 1
2回答
我知道可以通过重定向到"False“页面等来窃取cookie,但是我想在不重定向另一个页面的情况下窃取cookie。所以,如果你有一些留言簿,然后你把:如何在不重定向的情况下将其放入现有页面?
基本上,我想要的是当有人点击链接,抓取曲奇,并打印在当前页面的某个地
浏览 0提问于2014-01-22得票数 29
1回答
我无法理解iframe如何访问跨域cookie。例如:我有两个域abc.com和xyz.com,我在abc有一个父框架,它从xyz调用一个iframe,来自xyz的iframe有一个读取cookie(不只是abc.com-only)并通过postMessage如果代码在iframe中调用document.cookie (因为它当前加载在我的机器上)会在我的机器上发出cookie,而不是存储在xyz.com上的cookie
我看过openid connect文档
浏览 0提问于2018-06-13得票数 0
考虑一个前端开发人员/设计人员托管他们的组合应用程序的站点--带有任意JS的页面,每个页面都托管在一个用户的独立配置文件上。污损网站(用户自己的个人资料,不感兴趣)通过提取auth cookie(如果auth cookie仅限于HTTP?)窃取登录用户的凭据?
伪造请求(通过在批准的域中触发POST请求)
浏览 0提问于2020-07-21得票数 -1
2回答
因为它是无RESTful状态的,所以没有cookie和令牌。除了本地存储,我看不到解决方案,我也不喜欢它,因为它可能会被JS注入窃取。
浏览 7提问于2020-10-08得票数 0
1回答
一旦从合法用户的会话中窃取了cookie,我可以对该用户执行“远程”cookie重放攻击吗?我能够在同一个系统上成功地执行cookie重放攻击,但是我想尝试一下,如果cookie重放攻击从外部系统是可能的。这个是可能的吗?
浏览 0提问于2015-12-18得票数 2
1回答
我知道我可以使用存储的XSS来窃取用户的cookie,但是我不知道为什么我的代码不工作,因为为什么当另一个用户进入易受攻击的页面时,他们的cookie不会被记录在我的端上。cookie ='+ escape(document.cookie) + '" />);</script>中输入了这个XSS注入,但是在linux终端中,我输入了nc -l -p 6790,但是我没有收到任何cookie。例如,如果我使用<scr
浏览 15提问于2019-03-05得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
