成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

cookie和session那些事

hedzr / 921人閱讀

摘要:服務(wù)器生成的用以標(biāo)識(shí)客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設(shè)置一個(gè)搞掂了

cookie history

cookie最初是由網(wǎng)景公司開發(fā)的,現(xiàn)在所有主要的瀏覽器都支持它.

type 
cookie分為兩種:會(huì)話cookie和持久cookie.
會(huì)話cookie是一種臨時(shí)的cookie,它記錄用戶的訪問站點(diǎn)的設(shè)置偏好.用戶在退出瀏覽器就會(huì)被刪除.
持久cookie是存儲(chǔ)在硬盤上的,通常用持久cookie維護(hù)用戶周期性訪問的站點(diǎn)的配置文件或用戶名.
會(huì)話cookie和持久cookie的區(qū)別在于有沒有過期時(shí)間,沒有過期時(shí)間就是會(huì)話cookie.
cookie罐

cookie的基本思想是讓瀏覽器積累一組服務(wù)器特有的信息,每次訪問這個(gè)服務(wù)器時(shí)都將信息提供給它.

瀏覽器負(fù)責(zé)存儲(chǔ)cookie信息,所以這系統(tǒng)稱為客戶端側(cè)狀態(tài)(client-side state).

此cookie的正是規(guī)范名稱為HTTP狀態(tài)管理機(jī)制(HTTP state management mechanism).

站點(diǎn)使用不同的cookie

很多web站點(diǎn)都會(huì)與第三方廠商達(dá)成協(xié)議,由其來管理廣告.用戶在訪問多個(gè)由相同廣告公司提供服務(wù)的站點(diǎn)時(shí).(由于域名是匹配)瀏覽器就會(huì)回送設(shè)置好的持久cookie. 營銷公司可以將此技術(shù)與Referer首部結(jié)合, 暗里構(gòu)建用戶文檔收集用戶習(xí)慣.

第三方cookie 
當(dāng)你訪問A網(wǎng)站時(shí),a服務(wù)器設(shè)置B網(wǎng)站的cookie,當(dāng)你訪問B網(wǎng)站時(shí),客戶端就把cookie發(fā)給b服務(wù)器,b服務(wù)器就收到了cookie.做相應(yīng)的處理.
cookie版本0屬性

在服務(wù)器上可以在響應(yīng)的首部加Set-cookie的屬性控制哪些站點(diǎn)可以使用cookie.
Set-cookie: user="mary"; expires="Manday, 01-01-1999 01-01-01"; pref=password; path=/secure/; secure domain="xxx.com"
NAME=VALUE:強(qiáng)制,鍵值
expires: 過期時(shí)間(Weekday, DD-MM-YY HH:MM:SS GMT)
path: 路徑
secure: 在https時(shí)發(fā)送

cookie版本1新增屬性

Version: 強(qiáng)制,使用cookie的版本
Comment: 告訴客戶端如何使用
CommentURL: 指向詳細(xì)描述這cookie目的和策略的文檔
Discard:客戶端在程序終止時(shí),放棄這個(gè)cookie
Max-Age:以秒單位,設(shè)置cookie的過期時(shí)間
port:端口號(hào)

會(huì)話跟蹤

在用戶訪問站點(diǎn)進(jìn)行多項(xiàng)事務(wù)可用cookie進(jìn)行對(duì)用戶的跟蹤.在用戶訪問站點(diǎn)時(shí),就會(huì)啟動(dòng)事務(wù)鏈,在web服務(wù)器會(huì)使用重定向,URL重寫以及cookie設(shè)置.

a-客戶端打開xxx.com網(wǎng)頁
b-服務(wù)器將客戶端重定向到其他URL上(Location: http://www.xxx.com/redirect.html)
c-客戶端向重定向的URL發(fā)請(qǐng)求
d-服務(wù)端響應(yīng)上送出兩個(gè)會(huì)話cookie,將用戶重定向到另一個(gè)URL(Location: http://www.xxx.com/redirect.html/cookie[key])
e-客戶端向重定向的URL發(fā)請(qǐng)求,并把cookie附加在請(qǐng)求
f-服務(wù)器收到請(qǐng)求,在送兩個(gè)cookie,在重定向(Location: http://www.xxx.com/end.html)
g-客戶端向重定向的URL發(fā)請(qǐng)求,并附上所有的cookie
h-服務(wù)器回送內(nèi)容
(來自于amazon.com栗子)
cache

可以在請(qǐng)求頭注明cookie不可緩存

Cache-Control: no-cache="Set-Cookie"
Max Length

IE6及更低版本限制每個(gè)域名最多20個(gè)cookie
IE7和之后版本每個(gè)域名最多50個(gè)。IE7最初是支持每個(gè)域名最大20個(gè)cookie,之后被微軟的一個(gè)補(bǔ)丁所更新
Firefox限制每個(gè)域最多50個(gè)cookie
Opera限制每個(gè)域最多30個(gè)cookie
Safari和Chrome對(duì)于每個(gè)域的cookie數(shù)量限制沒有硬性規(guī)定

cookie竊取

攻擊者 => a 被攻擊者 => b
a服務(wù)器的文件 => http://xxx.com/xxx.php
a只要在b的服務(wù)器上加一行代碼,就能獲取用戶在b網(wǎng)站的cookie

location. + document.cookie
short

缺點(diǎn)是不太安全,敏感信息最好別用cookie存儲(chǔ)

session

session是一個(gè)抽象概念,服務(wù)端需要記錄用戶的狀態(tài)時(shí),就需要用某種機(jī)制來識(shí)具體的用戶,這機(jī)制就是session機(jī)制.服務(wù)端session的數(shù)據(jù)結(jié)構(gòu),用來跟蹤用戶的狀態(tài),這個(gè)數(shù)據(jù)可以保存在集群、數(shù)據(jù)庫、文件(服務(wù)器) .

實(shí)現(xiàn)

第一次創(chuàng)建Session的時(shí)候,服務(wù)端會(huì)在HTTP協(xié)議中告訴客戶端,需要在 Cookie 里面記錄一個(gè)Session ID,以后每次請(qǐng)求把這個(gè)會(huì)話ID發(fā)送到服務(wù)器.
每次HTTP請(qǐng)求的時(shí)候,客戶端都會(huì)發(fā)送相應(yīng)的Cookie信息到服務(wù)端.

XSS劫持

跨站腳本攻擊(Cross Site Script為了區(qū)別于CSS簡稱為XSS)指的是惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶的特殊目的。
服務(wù)器生成的用以標(biāo)識(shí)客戶信息的cookie一般被稱為sessionId,而通過一些手段獲取其它用戶sessionId的攻擊就叫session劫持

set-cookie設(shè)置一個(gè)HttpOnly搞掂了

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/50890.html

相關(guān)文章

  • cookiesession那些

    摘要:服務(wù)器生成的用以標(biāo)識(shí)客戶信息的一般被稱為而通過一些手段獲取其它用戶的攻擊就叫劫持設(shè)置一個(gè)搞掂了 cookie history cookie最初是由網(wǎng)景公司開發(fā)的,現(xiàn)在所有主要的瀏覽器都支持它. type cookie分為兩種:會(huì)話cookie和持久cookie. 會(huì)話cookie是一種臨時(shí)的cookie,它記錄用戶的訪問站點(diǎn)的設(shè)置偏好.用戶在退出瀏覽器就會(huì)被刪除. 持久cookie是存...

    xiaoxiaozi 評(píng)論0 收藏0

  • 我們來聊聊Cookie、SessionStorage的那些

    摘要:目的是克服由所帶來的一些限制,當(dāng)數(shù)據(jù)需要被嚴(yán)格控制在客戶端時(shí),不需要持續(xù)的將數(shù)據(jù)發(fā)回服務(wù)器。的生命周期是在僅在當(dāng)前會(huì)話下有效。但是在關(guān)閉了瀏覽器窗口后就會(huì)被銷毀。刪除單個(gè)數(shù)據(jù),根據(jù)鍵值移除對(duì)應(yīng)的信息。 導(dǎo)語 我們在做項(xiàng)目的時(shí)候,經(jīng)常把Cookie和Session掛在嘴邊,可實(shí)際對(duì)于他們了解的也是很少,只是會(huì)使用,但這遠(yuǎn)遠(yuǎn)不夠,熟練的掌握他們的特性才能把項(xiàng)目做的更好。下面我們就來認(rèn)識(shí)一下...

    ytwman 評(píng)論0 收藏0

  • 聊聊鑒權(quán)那些

    摘要:什么是鑒權(quán)鑒權(quán)是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利。傳統(tǒng)的鑒權(quán)是通過密碼來驗(yàn)證的。這種方式的前提是,每個(gè)獲得密碼的用戶都已經(jīng)被授權(quán)。接下來就一一介紹一下這三種鑒權(quán)方式。 在系統(tǒng)級(jí)項(xiàng)目開發(fā)時(shí)常常會(huì)遇到一個(gè)問題就是鑒權(quán),身為一個(gè)前端來說可能我們距離鑒權(quán)可能比較遠(yuǎn),一般來說我們也只是去應(yīng)用,并沒有對(duì)權(quán)限這一部分進(jìn)行深入的理解。 什么是鑒權(quán) 鑒權(quán):是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利。傳統(tǒng)的鑒權(quán)是...

    wslongchen 評(píng)論0 收藏0

  • 關(guān)于Cookie那些

    摘要:假設(shè)有兩個(gè)域名域名域名域名有分級(jí)的概念,也就是說域名與域名都是的子域名,又是的子域名在域名所使用的服務(wù)中,可以設(shè)置域名在服務(wù)端設(shè)置的時(shí)候,設(shè)置為或沒有區(qū)別,注意前面的點(diǎn),即只要是為顯式的聲明,前面帶不帶點(diǎn)沒有區(qū)別。 1 Cookie簡介 Cookie是由W3C組織提出,最早由NetScape社區(qū)發(fā)展的一種機(jī)制。Cookie是存儲(chǔ)于訪問者的計(jì)算機(jī)中的變量。每當(dāng)同一臺(tái)計(jì)算機(jī)通過瀏覽器請(qǐng)求某...

    sf_wangchong 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

hedzr

|高級(jí)講師

TA的文章

閱讀更多
最新活動(dòng)
閱讀需要支付1元查看
<