摘要:服務器生成的用以標識客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設置一個搞掂了
cookie history
cookie最初是由網景公司開發的,現在所有主要的瀏覽器都支持它.
typecookie分為兩種:會話cookie和持久cookie. 會話cookie是一種臨時的cookie,它記錄用戶的訪問站點的設置偏好.用戶在退出瀏覽器就會被刪除. 持久cookie是存儲在硬盤上的,通常用持久cookie維護用戶周期性訪問的站點的配置文件或用戶名. 會話cookie和持久cookie的區別在于有沒有過期時間,沒有過期時間就是會話cookie.cookie罐
cookie的基本思想是讓瀏覽器積累一組服務器特有的信息,每次訪問這個服務器時都將信息提供給它.
瀏覽器負責存儲cookie信息,所以這系統稱為客戶端側狀態(client-side state).
此cookie的正是規范名稱為HTTP狀態管理機制(HTTP state management mechanism).
站點使用不同的cookie很多web站點都會與第三方廠商達成協議,由其來管理廣告.用戶在訪問多個由相同廣告公司提供服務的站點時.(由于域名是匹配)瀏覽器就會回送設置好的持久cookie. 營銷公司可以將此技術與Referer首部結合, 暗里構建用戶文檔收集用戶習慣.
第三方cookie當你訪問A網站時,a服務器設置B網站的cookie,當你訪問B網站時,客戶端就把cookie發給b服務器,b服務器就收到了cookie.做相應的處理.cookie版本0屬性
在服務器上可以在響應的首部加Set-cookie的屬性控制哪些站點可以使用cookie.
Set-cookie: user="mary"; expires="Manday, 01-01-1999 01-01-01"; pref=password; path=/secure/; secure domain="xxx.com"
NAME=VALUE:強制,鍵值
expires: 過期時間(Weekday, DD-MM-YY HH:MM:SS GMT)
path: 路徑
secure: 在https時發送
Version: 強制,使用cookie的版本
Comment: 告訴客戶端如何使用
CommentURL: 指向詳細描述這cookie目的和策略的文檔
Discard:客戶端在程序終止時,放棄這個cookie
Max-Age:以秒單位,設置cookie的過期時間
port:端口號
在用戶訪問站點進行多項事務可用cookie進行對用戶的跟蹤.在用戶訪問站點時,就會啟動事務鏈,在web服務器會使用重定向,URL重寫以及cookie設置.
a-客戶端打開xxx.com網頁 b-服務器將客戶端重定向到其他URL上(Location: http://www.xxx.com/redirect.html) c-客戶端向重定向的URL發請求 d-服務端響應上送出兩個會話cookie,將用戶重定向到另一個URL(Location: http://www.xxx.com/redirect.html/cookie[key]) e-客戶端向重定向的URL發請求,并把cookie附加在請求 f-服務器收到請求,在送兩個cookie,在重定向(Location: http://www.xxx.com/end.html) g-客戶端向重定向的URL發請求,并附上所有的cookie h-服務器回送內容 (來自于amazon.com栗子)cache
可以在請求頭注明cookie不可緩存
Cache-Control: no-cache="Set-Cookie"Max Length
IE6及更低版本限制每個域名最多20個cookie
IE7和之后版本每個域名最多50個。IE7最初是支持每個域名最大20個cookie,之后被微軟的一個補丁所更新
Firefox限制每個域最多50個cookie
Opera限制每個域最多30個cookie
Safari和Chrome對于每個域的cookie數量限制沒有硬性規定
攻擊者 => a 被攻擊者 => b
a服務器的文件 => http://xxx.com/xxx.php
a只要在b的服務器上加一行代碼,就能獲取用戶在b網站的cookie
location. + document.cookieshort
缺點是不太安全,敏感信息最好別用cookie存儲
sessionsession是一個抽象概念,服務端需要記錄用戶的狀態時,就需要用某種機制來識具體的用戶,這機制就是session機制.服務端session的數據結構,用來跟蹤用戶的狀態,這個數據可以保存在集群、數據庫、文件(服務器) .
實現第一次創建Session的時候,服務端會在HTTP協議中告訴客戶端,需要在 Cookie 里面記錄一個Session ID,以后每次請求把這個會話ID發送到服務器.
每次HTTP請求的時候,客戶端都會發送相應的Cookie信息到服務端.
跨站腳本攻擊(Cross Site Script為了區別于CSS簡稱為XSS)指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意用戶的特殊目的。
服務器生成的用以標識客戶信息的cookie一般被稱為sessionId,而通過一些手段獲取其它用戶sessionId的攻擊就叫session劫持
set-cookie設置一個HttpOnly搞掂了
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/83621.html
摘要:服務器生成的用以標識客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設置一個搞掂了 cookie history cookie最初是由網景公司開發的,現在所有主要的瀏覽器都支持它. type cookie分為兩種:會話cookie和持久cookie. 會話cookie是一種臨時的cookie,它記錄用戶的訪問站點的設置偏好.用戶在退出瀏覽器就會被刪除. 持久cookie是存...
摘要:目的是克服由所帶來的一些限制,當數據需要被嚴格控制在客戶端時,不需要持續的將數據發回服務器。的生命周期是在僅在當前會話下有效。但是在關閉了瀏覽器窗口后就會被銷毀。刪除單個數據,根據鍵值移除對應的信息。 導語 我們在做項目的時候,經常把Cookie和Session掛在嘴邊,可實際對于他們了解的也是很少,只是會使用,但這遠遠不夠,熟練的掌握他們的特性才能把項目做的更好。下面我們就來認識一下...
摘要:什么是鑒權鑒權是指驗證用戶是否擁有訪問系統的權利。傳統的鑒權是通過密碼來驗證的。這種方式的前提是,每個獲得密碼的用戶都已經被授權。接下來就一一介紹一下這三種鑒權方式。 在系統級項目開發時常常會遇到一個問題就是鑒權,身為一個前端來說可能我們距離鑒權可能比較遠,一般來說我們也只是去應用,并沒有對權限這一部分進行深入的理解。 什么是鑒權 鑒權:是指驗證用戶是否擁有訪問系統的權利。傳統的鑒權是...
摘要:假設有兩個域名域名域名域名有分級的概念,也就是說域名與域名都是的子域名,又是的子域名在域名所使用的服務中,可以設置域名在服務端設置的時候,設置為或沒有區別,注意前面的點,即只要是為顯式的聲明,前面帶不帶點沒有區別。 1 Cookie簡介 Cookie是由W3C組織提出,最早由NetScape社區發展的一種機制。Cookie是存儲于訪問者的計算機中的變量。每當同一臺計算機通過瀏覽器請求某...
閱讀 3205·2021-11-08 13:21
閱讀 1195·2021-08-12 13:28
閱讀 1406·2019-08-30 14:23
閱讀 1924·2019-08-30 11:09
閱讀 840·2019-08-29 13:22
閱讀 2684·2019-08-29 13:12
閱讀 2548·2019-08-26 17:04
閱讀 2250·2019-08-26 13:22