安全相关,理解Cookie以及Cookie安全
Cookie是什么
Cookie是服务端发送到用户浏览器并且保存到本地的一小块数据,它会在浏览器下次向同一服务器发起请求时,被携带到服务器上。
它的作用:
经常用来做一些用户会话状态管理、个性化设置等等。
前端可以通过document.cookie来访问cookie。
cookie是跨域的,也就是在不同的域名中,访问的cookie的时候,只能访问对应的域名的cookie。
Cookie 和 CSRF 的关系是什么
搞明白这个问题,首先要明白什么CSRF?和它相关的Cookie特性是什么?
1、CSRF是什么?
CSRF,中文名叫跨站请求伪造,发生的场景就是,用户登陆了a网站,然后跳转到b网站,b网站直接发送一个a网站的请求,进行一些危险操作,就发生了CSRF攻击!
这时候,懂得这个CSRF了吗?我认为一部分同学依然不懂,因为我看过太多这样的描述了!
因为有这么一些疑惑,为什么在b网站可以仿造a网站的请求?Cookie不是跨域的吗?什么条件下,什么场景下,会发生这样的事情?
这时候,我们要注意上面我对cookie的定义,在发送一个http请求的时候,携带的cookie是这个http请求域的地址的cookie。也就是我在b网站,发送a网站的一个请求,携带的是a网站域名下的cookie!很多同学的误解,就是觉得cookie是跨域的,b网站发送任何一个请求,我只能携带b网站域名下的cookie。
当然,我们在b网站下,读取cookie的时候,只能读取b网站域名下的cookie,这是cookie的跨域限制。所以要记住,不要把http请求携带的cookie,和当前域名的访问权限的cookie混淆在一起。
还要理解一个点:CSRF攻击,仅仅是利用了http携带cookie的特性进行攻击的,但是攻击站点还是无法得到被攻击站点的cookie。
这个和XSS不同,XSS是直接通过拿到Cookie等信息进行攻击的。
2、Cookie相关特性?
在CSRF攻击中,就Cookie相关的特性:
1、http请求,会自动携带Cookie。
2、携带的cookie,还是http请求所在域名的cookie。
3、Cookie如何应对的 CSRF攻击?
明白了CSRF的本质,就能理解如何防御CSRF的攻击。
方案一:放弃Cookie、使用Token!
由于CSRF是通过Cookie伪造请求的方式,欺骗服务器,来达到自己的目的。那么我们采取的策略就是,不使用Cookie的方式来验证用户身份,我们使用Token!
Token的策略,一般就是登陆的时候,服务端在response中,返回一个token字段,然后以后所有的通信,前端就把这个token添加到http请求的头部。
这是当前,最常用的防御CSRF攻击的策略。
方案二:SameSite Cookies
前端在发展,Cookie也在进化,Cookie有一个新的属性——SateSite。能够解决CSRF攻击的问题。
它表示,只能当前域名的网站发出的http请求,携带这个Cookie。
当然,由于这是新的cookie属性,在兼容性上肯定会有问题。
方案三:服务端Referer验证
我们发送的http请求中,header中会带有Referer字段,这个字段代表的是当前域的域名,服务端可以通过这个字段来判断,是不是“真正”的用户请求。
也就是说,如果b网站伪造a网站的请求,Referer字段还是表明,这个请求是b网站的。也就能辨认这个请求的真伪了。
不过,目前这种方案,使用的人比较少。可能存在的问题就是,如果连Referer字段都能伪造,怎么办?
Cookie 和 XSS 的关系是什么
同样的道理,理清楚这两者的关系,先要搞明白什么是XSS攻击。
1、XSS是什么
XSS是由于不安全的数据引起的,有可能是表单提交的数据,有可能是页面路径的参数问题。
CSRF是通过伪造http请求,来达到自己的攻击目的。但是XSS是通过盗取用户的敏感信息而达到攻击的目的。比如本地存储、用户密码、cookie等等。
比如这个不安全的数据,是一个script标签,那这个script就可以链接任意的js文件,浏览器本地就会执行这个js,那通过js我们能做的东西就太多了:
比如document.cookie,获取用户信息。
比如通过localStorage,获取本地存储的敏感信息(token)。
然后只要是这个页面展示的任何信息,我都可以获取。
2、Cookie 如何应对 XSS攻击
方案一:http-only
Cookie有一个http-only属性,表示只能被http请求携带。
假如你的网站遭受到XSS攻击,攻击者就无法通过document.cookie得到你的cookie信息。
方案二:正则校验
我们了解到,XSS是由于不安全的数据引起的,这些数据的来源,一个重要的渠道就是提交表单,注入到数据库。所以针对前端,我们需要把表单数据进行正则验证,通过验证之后,才能提交数据。
对于服务端,也应该对接受的数据,进行规则校验,不符合规则的数据不应该入库。从接口层面,保证数据安全。
方案三:数据转义
如果无法保证数据库的数据都是安全的,前端能做的事情就是,把所有需要展示到页面的数据,进行转义,比如遇到script标签,直接replace处理。或者遇到标签标识‘<’以及‘>’这类特殊字符,添加‘\’进行处理。
Cookie 和 Token 对比
1、cookie可以引起csrf攻击,token在保持用户会话的时候好一点。
2、由于http请求携带cookie,当cookie过大的时候,会增大http请求的带宽。
3、cookie的特性,导致了cookie面对CSRF攻击的时候,很不安全。
Cookie如何做优化
从安全方面,尽量的使用token,进行会话保持。
从http请求的角度,尽可能让cookie的信息少一点,从而使得http请求的体积更小。
由于cookie的一个常用的作用,是保持用户会话的,所以仅仅在接口请求的时候,使用cookie。
加载其他资源,比如图片、js、css文件等等,可以托管到CDN上,这样就不会携带cookie,CDN的策略也使得资源加载更快。