首行,最近项目上遇到了护网行动,检测出前端的cookie 居然记住了密码,那这里检测的建议,就是不要把密码放在前端里边,容易被盗取,破解。
那这里我们要强调下,我们这里是有记住密码功能的,那就意味着 cookie 会存用户的密码,这种功能其实就是方便用户操作,不用频繁的录入密码。
但是,这也成为了其中的漏洞问题存在,懂技术的人,可能就会通过盗取密码,来攻破系统。
那这里我们要先介绍的是前端记住密码的实现:
一、什么是cookie?
Cookie,有时也用其复数形式Cookies。是保存在客户端的文本文件,这个文件与特定的Web网站关联在一起,保存了该客户端访问这个Web网站时的信息。由于“Cookie”可以保存在客户端的信息, 因此它可以帮助我们实现记录用户个人信息的功能。
二、cookie的参数
(1)Name/Value:设置Cookie的名称及相对应的值。
(2)expire:设置Cookie的生存期,可以让cookie保存到本地,进行持久保存,不随浏览器的关闭而删除。
(3)Path:定义了Web站点上可以访问该Cookie的目录 。
(4)Domain:指定了可以访问该 Cookie 的 Web 站点或域。
(5)Secure:指定是否使用HTTPS安全协议发送Cookie。
(6)HTTPOnly:用于防止客户端脚本通过document.cookie属性访问Cookie。
这里就是通过 cookie 来记住密码,以达到每次用户不需要录入密码,就可以登录的原理。
当然,我们要强调下,我们这里的密码是通过MD5加密,并不是明文密码,要是要求不严格的话,我们这里是可以用这个原理来实现记住密码功能的,以下是几点记住密码的建议:
- 使用安全的加密存储密码:在前端将用户密码存储在cookies或本地存储时,应该使用加密算法对密码进行加密,确保密码不会以明文形式存储。可以使用常见的加密算法,如哈希函数(如SHA-256)或对称加密算法(如AES)来对密码进行加密。
- 设置长有效期的cookie:通过设置长有效期的cookie,可以实现长时间记住用户密码的功能。但是,过长的有效期会增加安全风险。建议将有效期设置为较短的时间,例如几天或几周,以平衡方便性和安全性。
- 使用HTTPS协议传输数据:为了防止数据被窃取或篡改,应该在使用记住密码功能时使用HTTPS协议传输数据。HTTPS协议使用了加密技术来保护数据的安全性。
- 实施防止恶意登录的措施:为了防止恶意用户通过记住密码功能登录到其他用户的账户,可以采取以下措施:限制登录尝试次数、使用验证码进行验证、监测异常登录行为等。
- 提供密码修改功能:为了保障用户账户的安全,应该提供密码修改功能,让用户可以定期更改密码或在账户安全受到威胁时及时更改密码。
- 提醒用户安全性:在设置记住密码功能时,应加入安全性的提示信息,告知用户使用该功能可能会面临的潜在风险,并提醒用户保护好密码的重要性。
那我们这里要强调下,客户既然提出了问题,那我们如何解决这个问题呢?
那其实是很简单的,主要就是把记住密码功能去掉,让用户自己手动录入密码,这漏洞就这样解决了。
以上是自己的做为资深开发的一些个人经历,把这些经验分享给大家,希望以后大家在从事开发中,可以避免不必要的麻烦,跟浪费时间精力。
要是大家喜欢我的文章的话,可以在文章下留言或是联系我,共同进步,共同探讨开发的一些案例,促进彼此间的交流,分享一些日常的开发趣事。
非特殊说明,本博所有文章均为博主原创。
共有 0 条评论