本文介绍了cookie在网站登录中的作用,包括其工作原理以及存在的安全缺陷。同时,对比了session机制,强调了sessionid的安全性及如何通过sessionid防止直接泄露账号密码,但黑客仍可能通过其他手段冒充登录。
cookie && session
什么是cookie ?
相信我们在登陆一些网站的时候,比如说哔哩哔哩,csdn等网站的时候。我们登陆了一次过后,之后的一段时间内就不需要再次登录了,而是进入这些网站之后自动就给登陆了。这又是什么原理呢???
很简单,自然是我们的浏览器保存了cookie信息,而之后每次向该网站发送http请求时,就会自动把cookie信息发送给服务器。因为http是无状态的!!所以对方不知道你现在是否已经登陆!
cookie运作原理
首先,我们最初肯定是要登陆的,那么登陆信息就要提交给服务器。假设我们向服务提交了一个username和password
之后服务器那边对你的username和password做检测。如果登陆成功则会给你设置cookie,可以通过设置报头的方式来让你的浏览器知道服务器设置了cookie。
所以这时服务器在返回响应时添加了一则报头 :Set-Cookie: username=123456&password=abcdefg。当你的浏览器收到响应时,解析到了这个报头,就会在自己的浏览器内部设置cookie。我们也可以在后面加上Max-Age=秒数 来设置你的cookie时长。
而在之后的访问中,浏览器会自动把cookie发送给服务端,那么服务端就可以根据的cookie知道你当前登陆的用户。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
