7.网络编程-安全
目录
引言
Session
Cookie
JWT (JSON Web Token)
网络攻击
CSRF
DDoS
其他常见网络攻击类型及应对措施
引言
Session、Cookie 和 JWT 都是Web开发中用于实现用户状态管理和身份验证的技术。它们各自有不同的特点和应用场景:
Session
Session 是一种服务器端的机制,用于在一次完整的系列操作(如用户的一次网站访问)中保持特定用户的状态信息。具体实现通常包括以下步骤:
-
创建Session:当用户首次访问网站并进行身份验证(如登录)时,服务器为该用户创建一个唯一的Session ID,并将相关用户状态信息(如用户ID、权限等)存储在服务器端的内存、数据库或文件系统中。
-
传递Session ID:服务器通过HTTP响应向客户端(通常是浏览器)发送一个名为
Set-Cookie的头,其中包含Session ID。浏览器接收到后,将其保存在本地的Cookie中。 -
维持会话:后续用户请求时,浏览器会自动在请求头中附带上与Session ID对应的Cookie。服务器通过解析请求头中的Cookie,获取Session ID,然后根据该ID从服务器端的存储中查找并恢复用户状态,从而识别和维护用户会话。
优点:
- 用户状态信息存储在服务器端,相对安全,不易被客户端篡改。
- 可以存储较复杂和敏感的数据,如用户权限、购物车内容等。
缺点:
- 依赖服务器端存储,随着用户数量增加,服务器端存储和管理Session的成本可能会增加。
- 需要处理Session过期、失效等问题,以防止Session固定攻击等安全风险。
Cookie
Cookie 是浏览器和服务器之间进行会话管理的一种机制。它由服务器在HTTP响应中通过Set-Cookie头设置,浏览器将Cookie保存在本地,并在后续请求中自动附带到请求头的Cookie字段中。
作用:
- 存储少量用户相关信息,如用户偏好、购物车内容、Session ID等。
- 维护用户会话,如通过存储Session ID实现Session管理。
特点:
- 存储在客户端(浏览器),大小有限制(通常为4KB),且易被客户端篡改(除非使用HttpOnly、Secure等属性加强安全性)。
- 有生命周期(Expires/Max-Age属性)和作用域(Domain、Path属性)限制。
- 可以设置为HttpOnly防止JavaScript访问,设置为Secure要求仅在HTTPS连接中传输,以及SameSite属性防止跨站请求伪造(CSRF)。
JWT (JSON Web Token)
JWT (JSON Web Token) 是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的方式在各方之间安全地传输信息作为JSON对象。JWT通常用于用户身份验证,但它也可以用于信息交换。
一个JWT包含三部分:Header(头部)、Payload(载荷)和Signature(签名)。Header和Payload都是Base64编码的JSON对象,Signature则是通过对Header和Payload使用密钥(secret)进行哈希运算生成的,用于验证JWT的完整性和真实性。
工作流程:
- 生成JWT:服务器在用户成功登录后,根据用户信息生成一个JWT,包含用户ID、过期时间等信息,并使用密钥进行签名。
- 传输JWT:服务器通过HTTP响应(如Bearer Token方式)将JWT发送给客户端(通常是浏览器),客户端将其保存在内存或localStorage中。
- 使用JWT:后续请求中,客户端在请求头(如Authorization头)中携带JWT。服务器接收到后,验证JWT的签名和有效性,通过解析Payload中的信息识别用户身份并进行授权。
优点:
- 状态less(无状态):服务器无需存储Session信息,减轻了服务器端压力。
- 自包含:所有必要的用户信息都在JWT中,易于传递(如跨域请求)。
- 安全性:通过数字签名保证数据完整性和真实性。
缺点:
- 数据量有限:由于JWT通常放在Authorization头中,大小不宜过大。
- 无法主动注销:一旦JWT发放,除非设置较短的有效期,否则无法在服务器端主动使JWT失效,需依赖客户端不再使用或清除已发放的JWT。
总结来说,Session、Cookie和JWT各有优缺点,适用于不同的场景。Session适用于需要在服务器端存储复杂用户状态且对安全性要求较高的场景,Cookie常用于存储小量用户信息和维持会话,而JWT则在需要实现无状态、跨域认证、移动端友好等场景下更为合适。实际应用中,根据业务需求和安全考虑,可能结合使用这些技术。
网络攻击
CSRF
CSRF (Cross-Site Request Forgery): CSRF是一种网络攻击手段,攻击者通过诱使用户在其当前已登录的可信网站之外的环境中(如恶意网站或电子邮件中的链接)触发一个操作,利用用户的浏览器向目标网站发起一个未经授权的请求。由于用户浏览器与目标网站之间已有有效的会话(例如通过Cookie维持的Session),该请求会被目标网站视为合法用户的操作,并可能导致账户信息修改、资金转账、数据删除等后果。
解决CSRF攻击的方法:
- 使用CSRF Tokens: 在每个敏感操作请求中包含一个一次性或短期有效的随机Token(通常称为CSRF Token),服务器端在接收到请求时验证这个Token的存在性和正确性。这个Token通常在用户登录后生成,并作为隐藏字段包含在表单中,或通过HTTP-only Cookie发送给客户端,客户端在发起请求时必须将其回传。
- 检查Referer或Origin Header: 服务器端检查请求的
Referer或Origin头,确保请求来源于预期的域名。但这不是一个可靠的防护手段,因为某些浏览器或网络环境可能不发送或允许伪造这些头。 - 使用双重提交验证: 要求用户除了提交正常表单数据外,还需要完成额外的验证,如输入一个从Cookie中获得的验证码。
- 限制跨域请求: 对于仅接受JSON API的接口,可以设置CORS策略,仅允许特定源发起请求,防止跨域的CSRF攻击。
DDoS
DDoS (Distributed Denial of Service): DDoS攻击是一种网络攻击形式,攻击者通过控制大量(分布式的)设备(如僵尸网络)同时向目标系统发送大量请求,意图耗尽其处理能力、带宽或其它系统资源,导致目标服务无法正常响应合法用户的请求。
解决DDoS攻击的策略:
- 网络层防护:
- 防火墙与入侵检测系统 (IDS/IPS): 过滤异常流量,阻止已知攻击模式。
- 带宽扩容与流量清洗: 增加网络带宽以承受更大的流量冲击,并使用专门的DDoS防护服务或设备对恶意流量进行清洗,仅允许正常流量到达服务器。
- IP黑名单与速率限制: 对频繁发送异常请求的IP地址进行临时或永久封禁,或限制单个IP的请求速率。
- 应用层防护:
- 资源优化与负载均衡: 提高服务器处理效率,合理分配请求,避免单一节点过载。
- 验证码或二次验证: 对可疑请求引入人机验证,增加攻击成本。
- CDN服务: 利用内容分发网络分散流量,缓解直接对源站的压力。
- 云服务商防护服务:
- 许多云服务商提供DDoS防护服务,能够实时监测并自动缓解大规模攻击。
其他常见网络攻击类型及应对措施
-
XSS (Cross-Site Scripting):
- 输入验证与输出转义: 对用户提交的所有数据进行严格验证,确保其符合预期格式;在输出到HTML页面时,对特殊字符进行转义或使用安全上下文(如HTML属性使用
data-*属性、内容使用textContent而非innerHTML)。 - 内容安全策略 (CSP): 设置浏览器的CSP头,限制脚本、样式、图片等资源的加载来源,防止恶意内容注入。
- 输入验证与输出转义: 对用户提交的所有数据进行严格验证,确保其符合预期格式;在输出到HTML页面时,对特殊字符进行转义或使用安全上下文(如HTML属性使用
-
SQL Injection:
- 参数化查询: 使用预编译的参数化查询语句,确保用户输入的数据始终被视为数据而非指令。
- ORM工具: 使用支持自动参数化的ORM框架,避免手动拼接SQL语句。
-
Clickjacking:
- X-Frame-Options: 设置响应头,禁止网站内容在iframe中嵌套显示,防止点击劫持。
-
Man-in-the-Middle (MitM):
- 启用HTTPS: 强制使用SSL/TLS加密所有通信,防止中间人窃取或篡改数据。
- 证书pinning: 确保应用程序只接受特定的服务器证书,即使中间人持有有效CA签发的证书也无法进行伪装。
-
Brute Force Attacks:
- 账户锁定与登录尝试限制: 对连续失败的登录尝试进行限制,如达到一定次数后暂时锁定账户或增加登录延迟。
- 强密码策略: 要求用户设置包含字母、数字、符号的复杂密码,降低暴力破解成功率。
综合运用多种安全措施,并定期进行安全审计和更新防护策略,是防范各类网络攻击的关键。
相关文章:
7.网络编程-安全
目录 引言 Session Cookie JWT (JSON Web Token) 网络攻击 CSRF DDoS 其他常见网络攻击类型及应对措施 引言 Session、Cookie 和 JWT 都是Web开发中用于实现用户状态管理和身份验证的技术。它们各自有不同的特点和应用场景: Session Session 是一种服务器…...
信息泄露漏洞的JS整改方案
引言 🛡️ 日常工作中,我们经常会面临线上环境被第三方安全厂商扫描出JS信息泄露漏洞的情况,这给我们的系统安全带来了潜在威胁。但幸运的是,对于这类漏洞的整改并不复杂。本文将介绍几种可行的整改方法,以及其中一种…...
WKWebView的使用
一、简介 在iOS中,WKWebView是WebKit框架提供的一个用于展示网页内容的控件,相比UIWebView有更好的性能和功能。 以下是在iOS中使用WKWebView的基本步骤: 1.1 导入WebKit框架 import WebKit1.2 创建WKWebView实例 let webView WKWebVie…...
iOS MT19937随机数生成,结合AES-CBC加密算法实现。
按处理顺序说明: 1. 生成随机数序列字符串函数 生成方法MT19937,初始种子seed,利用C库方法,生成: #include <random> //C 库头文件引入NSString * JKJMT19937Seed(uint32_t seed) {NSLog("MT19937Seed种…...
阿里云2024年优惠券获取方法及使用教程详解
阿里云是阿里巴巴集团旗下的云计算服务提供商,是全球领先的云计算及人工智能科技公司之一。提供免费试用、云服务器、云数据库、云安全、云企业应用等云计算服务,以及大数据、人工智能服务、精准定制基于场景的行业解决方案。 阿里云2024年优惠券的获取方…...
hadoop中hdfs的fsimage文件与edits文件
hadoop中hdfs的fsimage文件与edits文件的作用 首先,我们抛出fsimage和edits文件的功能描述。 Fsimage文件: HDFS文件系统元数据的一个永久性的检查点,其中包含HDFS文件系统的 所有目录和文件inode的序列化信息。 Edits文件:存放HDFS文件系统的所有更…...
最新版两款不同版SEO超级外链工具PHP源码
可根据个人感觉喜好自行任意选择不同版本使用(版V1或版V2) 请将zip文件全部解压缩即可访问! 源码全部开源,支持上传二级目录访问 已更新增加大量高质量外链(若需要增加修改其他外链请打开txt文件)修复优…...
.net框架和c#程序设计第二次测试
一、实验内容 1、设计一个用户登录页面webform1.aspx,效果如下图所示: 2、点击webform1.aspx中“还未注册”连接进入register.aspx,注册页面效果如下图所示:点击用户注册信息到usershow.aspx页面,并显示注册的用户信息…...
芒果YOLOv8改进组合157:动态标签分配ATSS+新颖高效AsDDet检测头组合改进,共同助力VisDrone涨点1.8%,小目标高效涨点
💡本篇内容:【芒果YOLOv8改进ATSS标签分配策略|第三集】芒果YOLOv8改进组合157:动态标签分配ATSS+新颖高效AsDDet检测头组合改进,共同助力VisDrone涨点1.8%,小目标高效涨点 💡🚀🚀🚀本博客 标签分配策略ATSS改进+ 新颖高效AsDDet检测头组合改进,适用于 YOLOv8 …...
自媒体内容创作助手:7款必备ai写作工具一览! #学习方法#科技#其他
这些工具不仅可以快速生成高质量的文本内容,还可以根据用户的需求进行个性化定制。它们可以帮助我们节省大量的时间和精力,让我们更加专注于创意和细节的打磨。本文将为大家详细介绍几个AI写作工具,让你在写作领域更上一层楼。 1.七燕写作 这…...
文心一言 vs GPT-4 -- 全面横向比较
文心一言和GPT-4都是当前非常先进的自然语言处理模型,它们在语言理解、生成和翻译等方面都展现出了出色的能力。以下是对这两个模型的全面横向比较: 核心技术基础: 文心一言:是基于BERT(Bidirectional Encoder Repre…...
Leetcode C语言习题
Leetcode习题27:移除元素 题目: 说明: 示例: 题解: 方法一:(开辟额外的数组空间) 我们可以创建一个新的数组,然后用循环来遍历原数组,将原数组中不为 val…...
比 Nest.js 更优雅的 TS 控制反转策略 - 依赖查找
一、Cabloy5.0 内测预告 Cabloy5.0 采用 TS 对整个全栈框架进行了脱胎换骨般的大重构,并且提供了更加优雅的 ts 控制反转策略,让我们的业务开发更加快捷顺畅 1. 新旧技术栈对比: 后端前端旧版js、egg2.0、mysqljs、vue2、framework7新版ts…...
java算法day43 | 动态规划part05 ● 1049. 最后一块石头的重量 II ● 494. 目标和 ● 474.一和零
1049. 最后一块石头的重量 II 核心思想: 尽量让石头分成重量相同的两堆,相撞之后剩下的石头最小,这样就化解成01背包问题了。 是不是感觉和昨天讲解的416. 分割等和子集 (opens new window)非常像了。那么分成两堆石头,一堆石头的…...
STM32无刷电机全套开发资料(源码、原理图、PCB工程及说明文档)
目录 1、原理图、PCB、BOOM表 2、设计描述 2.1 前言 2.2 设计电路规范 3、代码 4、资料清单 资料下载地址:STM32无刷电机全套开发资料(源码、原理图、PCB工程及说明文档) 1、原理图、PCB、BOOM表 2、设计描述 2.1 前言 经过一个星期的画PCB,今…...
工地安全监测识别摄像机
工地安全监测识别摄像机是一种在建筑工地和施工现场广泛使用的智能监控设备,主要用于监测施工过程中可能出现的安全隐患和违规行为,以确保工地人员和设备的安全。通过高清摄像头、智能算法和远程监控系统的结合,该摄像机可以实时监测工地各个…...
【零基础学数据结构】顺序表实现书籍存储
目录 书籍存储的实现规划 编辑 前置准备: 书籍结构体: 书籍展示的初始化和文件加载 书籍展示的销毁和文件保存 书籍展示的容量检查 书籍展示的尾插实现 书籍展示的书籍增加 书籍展示的书籍打印 书籍删除展示数据 书籍展示修改数据 在指定位置之前…...
【智能算法】黑寡妇优化算法(BWO)原理及实现
目录 1.背景2.算法原理2.1算法思想2.2算法过程 3.结果展示4.参考文献 1.背景 2020年,V Hayyolalam等人受到自然界黑寡妇交配行为启发,提出了黑寡妇优化算法(Black Widow Optimization Agorithm, BWO)。 2.算法原理 2.1算法思想…...
C#-非托管代码
非托管代码是指不受.NET运行时(CLR)的管理和控制,而是直接由操作系统或其他本机执行环境(如C/C编译的代码)所执行的代码。以下是一些常见的非托管代码的例子: C/C代码:通过使用C或C等编程语言编…...
计算机视觉之三维重建(7)---多视图几何(下)
文章目录 一、透视结构恢复问题1.1 概述1.2 透视结构恢复歧义1.3 代数方法1.4 捆绑调整 二、P3P问题三、随机采样一致性 一、透视结构恢复问题 1.1 概述 1. 透视结构恢复问题:摄像机为透视相机,内外参数均未知。 2. 问题:已知 n n n 个三维…...
AUTOSAR配置工具开发教程 - 开篇
简介 本系列的教程,主要讲述如何自己开发一套简单的AUTOSAR ECU配置工具。适用于有C# WPF基础的人员。 简易介绍见:如何打造AUTOSAR工具_autosar_mod_ecuconfigurationparameters-CSDN博客 实现版本 AUTOSAR 4.0.3AUTOSAR 4.2.2AUTOSAR 4.4.0 效果 …...
配置VM开机自启动
1. 在此电脑-右键选择“管理”-服务和应用程序-服务中找到VMware Workstation Server服务(新版名称也可能是VMware自启动服务,自己找一下,服务属性里有描述信息的),将其启用并选择开机自动启动 新版参考官方文档&…...
工作的第四天
推荐一个软件分配软件 我们看一下如何使用 连接信息 AOC中国官方网站 发现打开 还是这个页面信息,发现最后出现了页面重新定向的问题 我服了 我的码 怎么解决 我想用这个软件 来看看这个软件下载就可以使用 一听到钱我使用的情绪不是很高了 算了不使用 使用…...
前端开发语言概览:从HTML、CSS到JavaScript
随着互联网的发展,前端开发领域涌现出了许多不同的编程语言和技术,用于构建各种类型的网页和应用程序。本文将介绍几种主流的前端开发语言,包括 HTML、CSS 和 JavaScript,并简要讨论它们在前端开发中的作用和特点。 1. HTML&…...
《Java面试自救指南》(专题二)计算机网络
文章目录 力推的计网神课get请求和post请求的区别在浏览器网址输入一个url后直到浏览器显示页面的过程常用状态码session 和 cookie的区别TCP的三次握手和四次挥手七层OSI模型(TCP/IP协议模型)各种io模型的知识http协议和tcp协议的区别https和http的区别…...
Android14音频进阶之<进阶调试>:Perfetto定位系统音频问题(六十六)
简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长! 优质专栏:Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏:多媒体系统工程师系列【原创干货持续更新中……】🚀 优质视频课程:AAOS车载系统+AOSP…...
使用 Clickhouse 集成的表引擎同步数据方式详解
Clickhouse作为一个列式存储分析型数据库,提供了很多集成其他组件的表引擎数据同步方案。 官网介绍 一 Kafka 表引擎 使用Clickhouse集成的Kafka表引擎消费Kafka写入Clickhouse表中。 1.1 流程图 1.2 建表 根据上面的流程图需要建立三张表,分别Click…...
Linux 性能分析工具大全
vmstat--虚拟内存统计 vmstat(VirtualMeomoryStatistics,虚拟内存统计)是 Linux 中监控内存的常用工具,可对操作系统的虚拟内存、进程、CPU 等的整体情况进行监视。vmstat 的常规用法:vmstat interval times 即每隔 interval 秒采…...
FME学习之旅---day21
我们付出一些成本,时间的或者其他,最终总能收获一些什么。 教程:AutoCAD 变换 相关的文章 为您的 DWG 赋予一些样式:使用 DWGStyler、模板文件、块等 FME数据检查器在显示行的方式上受到限制。它只能显示线条颜色,而…...
volta(轻松切换管理Node.js版本)
Node.js版本管理 Volta提供了一个简单直观的命令行界面,可以轻松地安装、卸载、更新和切换Node.js版本。 Volta 既可以全局使用,也可以在项目级别使用,可以为每个项目单独设置node版本,nvm不行。 下载安装Volta 参考: …...