本文介绍了Web程序中用于跟踪用户会话的两种主要技术——Cookie和Session。Cookie存储在客户端,易被篡改,而Session存储在服务器端,相对更安全。同时提到了XSS跨站脚本攻击,包括反射型和存储型XSS,以及如何利用Cookie进行恶意操作的风险。
http:基础学习
会话(Session)跟踪是Web程序中常用的技术,用来 跟踪用户的整个会话 。常用的会话跟踪技术是Cookie与Session。 Cookie通过在客户端记录信息确定用户身份 , Session通过在服务器端记录信息确定用户身份 。
客户端cookie:不可跨浏览器使用
指网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(一般都是经过加密的),Cookie也称为浏览器缓存。服务器把每个用户的数据以cookie的形式写给用户各自的浏览器,当客户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去。
特点:明文,可修改,大小受限
服务端的session;
会话(Session)跟踪是Web程序中常用的技术,用来 跟踪用户的整个会话 。常用的会话跟踪技术是Cookie与Session。 Cookie通过在客户端记录信息确定用户身份 , Session通过在服务器端记录信息确定用户身份 。
Java操作cookie
远程获取cookie:
脚本注入网页:XSS跨站脚本运行
利用web页面的漏洞,插入一些恶意代码,当用户访问页面时代码就会执行
就是打开脚本运行
反射型XSS-需要不停的执行访问
存储型XSS
通过把脚本注入网页,一旦访问就会被不停的执行
获取cookie发送邮件:
在图片中加入代码
扫一扫
3935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
