前端cookie设置过期时间 网站显示的是已过期是什么意思?
网站显示的是已过期是什么意思?
浏览器访问一些网站时,误将证书过期。先确认本地电脑系统的日期时间是否正确,再改成正确的时间日期,然后关闭浏览器重新打开网站,看看访问是否正常。一般如果电脑时间和当前时间不一致,浏览器会判断你的证书周期错误,提示证书已经过期!
cookie被获取怎么办?
1.将Cookie的HttpOnly属性设置为true。
一般来说,跨站脚本攻击(XSS)最常见的是在交互式网站(如论坛、微博等)中嵌入javascript脚本。).当其他用户访问嵌入脚本的网页时,攻击者可以用户 的cookie信息。如果网站开发者将cookie的httponly属性设置为true,那么浏览器客户端将不允许网页中嵌入的javascript脚本读取用户 的cookie信息。
2.将cookie的安全属性设置为true。
虽然模式1可以防止攻击者通过javascript脚本cookie,但是没有办法防止攻击者通过fiddler等抓包工具直接拦截请求包获取cookie信息。这时候设置安全属性就很重要了。当设置了securetrue时,那么cookies只能加载到https协议下的请求包中,而不会发送到http协议下的服务器。https比http更安全,因此可以防止cookies被添加到http协议请求数据包中,并暴露给数据包抓取工具。
3.将cookie的samesite属性设置为strict或lax。
如上所述,攻击者获得cookie后,还会发起跨站请求伪造(CSRF)攻击。这种攻击通常在第三方网站发起的请求中携带受害者cookie信息,将samesite设置为严格或宽松后,可以限制第三方cookie,从而防止CSRF攻击。当然,也有一种常见的方法来检查令牌和referer请求头,以防止CSRF攻击,感兴趣的读者也可以自己阅读材料来了解一下。
4.设置cookie的过期属性值。
通常情况下,cookies的有效期会被设置为永久有效或长期为正值。这样的cookie会保存在本地,攻击者获取cookie信息后可以长时间控制用户账号。如果过期值设置为-1,cookies将只保存在客户端内存中。当浏览器客户端关闭时,cookie将被保存。e会失败。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
