Cookie 与session 通熟…

最新推荐文章于 2020-07-08 18:29:45 发布
原创 最新推荐文章于 2020-07-08 18:29:45 发布 · 213 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Cookie的基本概念及其在身份验证中的作用,探讨了XSS攻击如何导致Cookie被窃取,并提出了三种有效的Cookie防劫持策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. Cookie是什么?

2. 窃取的原理是什么?

3. 系统如何防Cookie劫持呢?

  首先我们要明白这三个问题:

Cookie与session 
HTTP天然是无状态的协议, 为了维持和跟踪用户的状态, 引入了Cookie和Session. Cookie包含了浏览器客户端的用户凭证, 相对较小. Session则维护在服务器, 用于维护相对较大的用户信息.




用通俗的语言, Cookie是钥匙, Session是锁芯.

Cookie简单理解就是钥匙, 每次去服务端获取资源, 需要带着这把钥匙, 只有自己的锁芯(资源), 才能打开.。

但是如果钥匙被别人拿了, 那别人就可以冒充你的身份, 去打开你的锁芯, 从而获取你的信息, 甚至挪用你的资金. 这是非常危险的.


XSS攻击:
其就是利用站点开放的文本编辑并发布的功能, 从而造成攻击,就是输入javascript脚本, 窃取并投递cookie信息到自己的站点.
比如攻击者以一个普通用户登录进来,然后在输入框中提交以下数据:


有了该session-id,攻击者在会话有效期内即可获得管理员的权限,并且由于攻击数据已添加入数据库,只要攻击数据未被删除,那么攻击还有可能生效,是持久性的。
     Cookie的不安全就是因为这引起的。

二:cookie的防劫持的预防

基于XSS攻击, 窃取Cookie信息, 并冒充他人身份.

1) 方法一:
给Cookie添加HttpOnly属性, 这种属性设置后, 只能在http请求中传递, 在脚本中, document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.
2)方法二:
在cookie中添加校验信息, 这个校验信息和当前用户外置环境有些关系,比如ip,user agent等有关. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 因此要求重新登录, 这样也是种很好的思路, 去规避cookie劫持.
3)方法三:
cookie中session id的定时更换, 让session id按一定频率变换, 同时对用户而言, 该操作是透明的, 这样保证了服务体验的一致性.
mn_front
关注
java web项目用cookie记住用…
huangleijay的专栏
09-11 537
web 项目中一般在登录的时候都会用到记住密码功能。 1.jsp页面:  <% String flag = (String)session.getAttribute("flag")==null?"":(String)session.getAttribute("flag"); String name = ""; String password = ""; try{   &nbs
Cookie/Session机制详解
热门推荐
瞧字不识
11-09 46万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSession。Cookie过在客户端记录信息确定用户身份,Session过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
详说 Cookie, LocalStor…
aa_mmnn的博客
03-18 392
最近在找暑期实习,其中百度、网易游戏、阿里的面试都问到一些关于HTML5的东西,问题大多是这样开头的:“你用过什么HTML5的技术呀?” 而后,每次都能扯到 Cookie 和 localStorage 有啥差别。这篇文章就旨在详细地阐述这部分内容,而具体 Web Storage API 的使用可以参考MDN的文档,就不在这篇文章中赘述了。 基本概念 Cookie Cookie 是小甜饼的意思
cookie&session
Bigbuibuibui的博客
08-30 202
Cookie和Session 第一章 会话的基本概念 1.1 什么是会话 在日常生活中,从拨电话到挂断电话之间的一连串的你问我答的过程就是一个会话。 Web应用中的会话过程类似于生活中的打电话过程,它指的是一个客户端(浏览器)Web服务器之间连续发生的一系列请求和响应过程,例如,一个用户在某网站上的整个购物过程就是一个会话。 在打电话过程中,话双方会有话内容,同样,在客户端服务器端交互的...
Cookie&Session学习笔记
weixin_40482420的博客
07-08 226
1.会话 会话: 用户打开一个浏览器,点击了很多超链接,访问多个web资源,关闭浏览器,这个过程可以称之为会话 有状态会话: 一个同学来过教室,下次再来教室,我们会知道这个同学,曾经来过,称之为有状态会话; 怎么证明你是学校的学生? 你        学校 1.发票   学校给你开发票 2.学校登记  学校标记你来过了 一个网站,怎么证明你来过? 客户端  
PHP session的详细分析
senlin1202的博客
03-04 311
1.PHP session 工作原理  Session文件储存于服务器端,,默认情况下SESSION 文件保存的目录由session.save_path 指定,文件名以sess_ 为前缀,后跟SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。可以根据客户端提供的session id来得到用户的文件,取得变量的值,session id可以使用客
ASP.NET的 Session&nbsp;详解
尼奥
03-05 608
Session模型简介 Session是什么呢?简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时,可能有若干个用户浏览正在运正在这台服务器上的网站。当每个用户首次这台WWW服务器建立连接时,他就这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的唯一身份。这个SessionID是由WWW服务器随机产生的一个由24个字符组成的字符
Cookie & Session 机制
帅帅的博客
10-25 135
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSession。Cookie过在客户端记录信息确定用户身份,Session过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话跟踪是...
ASPNET session客户端服务…
weixin_30883777的博客
03-24 62
除非程序知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个 session id就消失了,再次连接...
Cookie&Session详解
mY
08-23 291
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSession。Cookie过在客户端记录信息确定用户身份,Session过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制
jsp/servlet session
blacksoil55的博客
10-04 316
一,会话跟踪(session tracking)技术 会话是客户端发送请求,服务器返回响应的连接时间段。  HTTP是无状态协议:每次都是单独连接,不能维持客户的上下文信息。  会话跟踪技术是用于维持客户端和服务器端信信息的技术。    三种典型客户端会话跟踪解决方案:   1,Cookie;   2,URL重写;   3,隐藏表单域; 二,会话Cookie 用于会话跟踪的Cookie叫做会
JavaWeb 学习笔记之Cookie & Session (一)
weixin_42153627的博客
07-29 292
会话管理 Web 应用程序是使用 Http 协议传输数据的,Http 协议是无状态的协议,一旦数据交换完毕,则连接就会自动关闭,再次交换数据需要建立新的连接,这就意味着服务器无法从连接上跟踪会话。会话跟踪是 Web 程序中常用的技术,用来跟踪用户整个会话,常的会话跟踪技术是 Cookie 和 Session 技术。 Cookie 过在客户端记录信息确定用户身份, Session 过在服务器...
Session.docx
08-16
验证码在`ValiImageServlet`中生成并存储到Session中,之后在`RegistServlet`中过比较用户输入的验证码Session中的验证码来验证用户填写的正确性。 5. **AJAX技术**: - **AJAX概述**:AJAX(Asynchronous ...
Cookie案例:记住上一次访问时间 & Session登录案例(有验证码)
H.千面的博客
05-21 941
Cookie案例:记住上一次访问时间 需求: 1.访问一个Servlet,如果是第一次访问,则提示:您好,欢迎您首次访问。 2.如果不是第一次访问,则提示:欢迎回来,您上次访问时间为:显示时间字符串 分析: 1.可以采用Cookie来完成 2.在服务器中的Servlet判断是否有一个名为lastTime的cookie   1.有:不是第一次访问      1. 响应数据:欢迎回来,您上次访问时间为:2018年6月10日11:50:
B站的基于python的Opencv项目实战-唐宇迪.zip
08-22
B站的基于python的Opencv项目实战-唐宇迪.zip
借助 LLaMA 3 等大模型,为全球百余种语言个性化学习提供支持的对话类 AI Agent,适用于全球旅行生活场景
08-22
资源下载链接为: https://pan.quark.cn/s/538a38db2c7e 借助 LLaMA 3 等大模型,为全球百余种语言个性化学习提供支持的对话类 AI Agent,适用于全球旅行生活场景(最新、最全版本!打开链接下载即可用!)
一个基于 Python 的网易云音乐-音乐合伙人任务脚本,支持本地运行和 GitHub Actions 自动执行。.zi
08-22
一个基于 Python 的网易云音乐-音乐合伙人任务脚本,支持本地运行和 GitHub Actions 自动执行。.zip
fuint餐饮系统是一套专为餐饮行业设计的开源会员管理营销解决方案_基于Java_SpringBoot_MySQL_Redis_Uniapp_Element_UI技术栈_前后端分.zip
08-22
fuint餐饮系统是一套专为餐饮行业设计的开源会员管理营销解决方案_基于Java_SpringBoot_MySQL_Redis_Uniapp_Element_UI技术栈_前后端分.zip
基于Python_PyQT5的产生式动物识别系统.zip
最新发布
08-22
基于Python_PyQT5的产生式动物识别系统.zip
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html lang="zh-CN" class="bootstrap-admin-vertical-centered"> <head> <meta charset="UTF-8"> <title>图书馆管理系统</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <link rel="stylesheet" href="static/css/bootstrap.min.css"> <link rel="stylesheet" href="static/css/bootstrap-theme.min.css"> <link rel="stylesheet" href="static/css/bootstrap-admin-theme.css"> <link rel="stylesheet" href="static/css/bootstrap-admin-theme.css"> <script src="static/js/bootstrap.min.js"></script> <script src="static/jQuery/jquery-3.1.1.min.js"></script> <script src="static/ajax-lib/ajaxutils.js"></script> <script src="static/js/login.js"></script> </head> <style type="text/css"> .alert{ margin: 0 auto 20px; text-align: center; } </style> <script src="static/js/jquery.min.js"></script> <script src="static/js/bootstrap.min.js"></script> <body class="bootstrap-admin-without-padding"> 池州学院 230312242 杨洪博 课设 <div style="background-image: url('image/2.png'); background-size: cover; background-repeat: no-repeat; background-position: center;"></div> <div class="col-lg-12"> <div class="alert alert-info"> <a class="close" data-dismiss="alert" href="#">×</a> 欢迎登录图书馆管理系统 </div> <form class="bootstrap-admin-login-form" method="post" action="/books/LoginServlet"> <% String state = (String)session.getAttribute("state"); session.removeAttribute("state"); if(state!=null){ %> <label class="control-label" for="username">密码错误</label> <%}%> <div class="form-group"> <label class="control-label" for="username">账 号</label> <input type="text" class="form-control" id="username" name="username" required="required" placeholder="学号"/> <label class="control-label" for="username" style="display:none;"></label> </div> <div class="form-group"> <label class="control-label" for="password">密 码</label> <input type="password" class="form-control" id="password" name="password" required="required" placeholder="密码"/> <label class="control-label" for="username" style="display:none;"></label> </div> <label class="control-label" for="password">没有账号请<a href="/books/register.jsp" style="color:blue;">注册</a></label> <br> <input type="submit" class="btn btn-lg btn-primary" value="登    录"/> </form> </div> </div> </div> <div class="modal fade" id="modal_info" tabindex="-1" role="dialog" aria-labelledby="addModalLabel"> <div class="modal-dialog" role="document"> <div class="modal-content"> <div class="modal-header"> <button type="button" class="close" data-dismiss="modal" aria-label="Close"><span aria-hidden="true">×</span></button> <h4 class="modal-title" id="infoModalLabel">提示</h4> </div> <div class="modal-body"> <div class="row"> <div class="col-lg-12" id="div_info"></div> </div> </div> <div class="modal-footer"> <button type="button" class="btn btn-default" id="btn_info_close" data-dismiss="modal">关闭</button> </div> </div> </div> </div> </body> </html>文件路径没问题 但图片显示不出来
06-22
根据用户提供的引用[^1](虽然引用是关于Cookie的,但我们可以借鉴其路径分析思路),路径的匹配规则很重要。在Web应用中,资源路径必须服务器上的实际路径匹配。例如,如果图片的URL是`http://localhost:9090/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值