摘要:服務(wù)器生成的用以標(biāo)識客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設(shè)置一個搞掂了
cookie history
cookie最初是由網(wǎng)景公司開發(fā)的,現(xiàn)在所有主要的瀏覽器都支持它.
typecookie分為兩種:會話cookie和持久cookie. 會話cookie是一種臨時的cookie,它記錄用戶的訪問站點(diǎn)的設(shè)置偏好.用戶在退出瀏覽器就會被刪除. 持久cookie是存儲在硬盤上的,通常用持久cookie維護(hù)用戶周期性訪問的站點(diǎn)的配置文件或用戶名. 會話cookie和持久cookie的區(qū)別在于有沒有過期時間,沒有過期時間就是會話cookie.cookie罐
cookie的基本思想是讓瀏覽器積累一組服務(wù)器特有的信息,每次訪問這個服務(wù)器時都將信息提供給它.
瀏覽器負(fù)責(zé)存儲cookie信息,所以這系統(tǒng)稱為客戶端側(cè)狀態(tài)(client-side state).
此cookie的正是規(guī)范名稱為HTTP狀態(tài)管理機(jī)制(HTTP state management mechanism).
站點(diǎn)使用不同的cookie很多web站點(diǎn)都會與第三方廠商達(dá)成協(xié)議,由其來管理廣告.用戶在訪問多個由相同廣告公司提供服務(wù)的站點(diǎn)時.(由于域名是匹配)瀏覽器就會回送設(shè)置好的持久cookie. 營銷公司可以將此技術(shù)與Referer首部結(jié)合, 暗里構(gòu)建用戶文檔收集用戶習(xí)慣.
第三方cookie當(dāng)你訪問A網(wǎng)站時,a服務(wù)器設(shè)置B網(wǎng)站的cookie,當(dāng)你訪問B網(wǎng)站時,客戶端就把cookie發(fā)給b服務(wù)器,b服務(wù)器就收到了cookie.做相應(yīng)的處理.cookie版本0屬性
在服務(wù)器上可以在響應(yīng)的首部加Set-cookie的屬性控制哪些站點(diǎn)可以使用cookie.
Set-cookie: user="mary"; expires="Manday, 01-01-1999 01-01-01"; pref=password; path=/secure/; secure domain="xxx.com"
NAME=VALUE:強(qiáng)制,鍵值
expires: 過期時間(Weekday, DD-MM-YY HH:MM:SS GMT)
path: 路徑
secure: 在https時發(fā)送
Version: 強(qiáng)制,使用cookie的版本
Comment: 告訴客戶端如何使用
CommentURL: 指向詳細(xì)描述這cookie目的和策略的文檔
Discard:客戶端在程序終止時,放棄這個cookie
Max-Age:以秒單位,設(shè)置cookie的過期時間
port:端口號
在用戶訪問站點(diǎn)進(jìn)行多項事務(wù)可用cookie進(jìn)行對用戶的跟蹤.在用戶訪問站點(diǎn)時,就會啟動事務(wù)鏈,在web服務(wù)器會使用重定向,URL重寫以及cookie設(shè)置.
a-客戶端打開xxx.com網(wǎng)頁 b-服務(wù)器將客戶端重定向到其他URL上(Location: http://www.xxx.com/redirect.html) c-客戶端向重定向的URL發(fā)請求 d-服務(wù)端響應(yīng)上送出兩個會話cookie,將用戶重定向到另一個URL(Location: http://www.xxx.com/redirect.html/cookie[key]) e-客戶端向重定向的URL發(fā)請求,并把cookie附加在請求 f-服務(wù)器收到請求,在送兩個cookie,在重定向(Location: http://www.xxx.com/end.html) g-客戶端向重定向的URL發(fā)請求,并附上所有的cookie h-服務(wù)器回送內(nèi)容 (來自于amazon.com栗子)cache
可以在請求頭注明cookie不可緩存
Cache-Control: no-cache="Set-Cookie"Max Length
IE6及更低版本限制每個域名最多20個cookie
IE7和之后版本每個域名最多50個。IE7最初是支持每個域名最大20個cookie,之后被微軟的一個補(bǔ)丁所更新
Firefox限制每個域最多50個cookie
Opera限制每個域最多30個cookie
Safari和Chrome對于每個域的cookie數(shù)量限制沒有硬性規(guī)定
攻擊者 => a 被攻擊者 => b
a服務(wù)器的文件 => http://xxx.com/xxx.php
a只要在b的服務(wù)器上加一行代碼,就能獲取用戶在b網(wǎng)站的cookie
location. + document.cookieshort
缺點(diǎn)是不太安全,敏感信息最好別用cookie存儲
sessionsession是一個抽象概念,服務(wù)端需要記錄用戶的狀態(tài)時,就需要用某種機(jī)制來識具體的用戶,這機(jī)制就是session機(jī)制.服務(wù)端session的數(shù)據(jù)結(jié)構(gòu),用來跟蹤用戶的狀態(tài),這個數(shù)據(jù)可以保存在集群、數(shù)據(jù)庫、文件(服務(wù)器) .
實(shí)現(xiàn)第一次創(chuàng)建Session的時候,服務(wù)端會在HTTP協(xié)議中告訴客戶端,需要在 Cookie 里面記錄一個Session ID,以后每次請求把這個會話ID發(fā)送到服務(wù)器.
每次HTTP請求的時候,客戶端都會發(fā)送相應(yīng)的Cookie信息到服務(wù)端.
跨站腳本攻擊(Cross Site Script為了區(qū)別于CSS簡稱為XSS)指的是惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執(zhí)行,從而達(dá)到惡意用戶的特殊目的。
服務(wù)器生成的用以標(biāo)識客戶信息的cookie一般被稱為sessionId,而通過一些手段獲取其它用戶sessionId的攻擊就叫session劫持
set-cookie設(shè)置一個HttpOnly搞掂了
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/50890.html
摘要:服務(wù)器生成的用以標(biāo)識客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設(shè)置一個搞掂了 cookie history cookie最初是由網(wǎng)景公司開發(fā)的,現(xiàn)在所有主要的瀏覽器都支持它. type cookie分為兩種:會話cookie和持久cookie. 會話cookie是一種臨時的cookie,它記錄用戶的訪問站點(diǎn)的設(shè)置偏好.用戶在退出瀏覽器就會被刪除. 持久cookie是存...
摘要:目的是克服由所帶來的一些限制,當(dāng)數(shù)據(jù)需要被嚴(yán)格控制在客戶端時,不需要持續(xù)的將數(shù)據(jù)發(fā)回服務(wù)器。的生命周期是在僅在當(dāng)前會話下有效。但是在關(guān)閉了瀏覽器窗口后就會被銷毀。刪除單個數(shù)據(jù),根據(jù)鍵值移除對應(yīng)的信息。 導(dǎo)語 我們在做項目的時候,經(jīng)常把Cookie和Session掛在嘴邊,可實(shí)際對于他們了解的也是很少,只是會使用,但這遠(yuǎn)遠(yuǎn)不夠,熟練的掌握他們的特性才能把項目做的更好。下面我們就來認(rèn)識一下...
摘要:什么是鑒權(quán)鑒權(quán)是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利。傳統(tǒng)的鑒權(quán)是通過密碼來驗(yàn)證的。這種方式的前提是,每個獲得密碼的用戶都已經(jīng)被授權(quán)。接下來就一一介紹一下這三種鑒權(quán)方式。 在系統(tǒng)級項目開發(fā)時常常會遇到一個問題就是鑒權(quán),身為一個前端來說可能我們距離鑒權(quán)可能比較遠(yuǎn),一般來說我們也只是去應(yīng)用,并沒有對權(quán)限這一部分進(jìn)行深入的理解。 什么是鑒權(quán) 鑒權(quán):是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利。傳統(tǒng)的鑒權(quán)是...
摘要:假設(shè)有兩個域名域名域名域名有分級的概念,也就是說域名與域名都是的子域名,又是的子域名在域名所使用的服務(wù)中,可以設(shè)置域名在服務(wù)端設(shè)置的時候,設(shè)置為或沒有區(qū)別,注意前面的點(diǎn),即只要是為顯式的聲明,前面帶不帶點(diǎn)沒有區(qū)別。 1 Cookie簡介 Cookie是由W3C組織提出,最早由NetScape社區(qū)發(fā)展的一種機(jī)制。Cookie是存儲于訪問者的計算機(jī)中的變量。每當(dāng)同一臺計算機(jī)通過瀏覽器請求某...
閱讀 3014·2021-11-16 11:42
閱讀 3651·2021-09-08 09:36
閱讀 950·2019-08-30 12:52
閱讀 2481·2019-08-29 14:12
閱讀 769·2019-08-29 13:53
閱讀 3583·2019-08-29 12:16
閱讀 644·2019-08-29 12:12
閱讀 2469·2019-08-29 11:16