谁动了你的cookie

最新推荐文章于 2024-06-14 14:39:43 发布
原创 最新推荐文章于 2024-06-14 14:39:43 发布 · 3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #浏览器 #domain #path #apache #google

本文详细解析了Cookie的概念及其在网络中的作用,包括其如何帮助服务器维护用户的登录状态,并解释了它与HTTP协议的关系以及潜在的安全风险。

谁动了你的cookie

 

呵呵,标题只是为了好玩。

 

最近好几个人问我,cookie到底是什么,能不能用通俗的语言解释一下。他们只知道cookie的字面意思是小甜饼,似乎与安全隐私有关。至于cookie的具体用途,全然不知。这个小甜饼与网络如何扯上关系,似乎风马牛不相及的事情。

 

实际上,有些命名规则,是说不清道不明的,一定置身于作者所在的文化背景下,才能体会作者的深意。比如,Java为什么叫Javagoogle为什么叫googleapache为什么叫apache,如此等等,如果当事人不给点提示,我们是无法知道这些名字来历的。

 

抛开小甜饼还是小咸饼不谈,我们先解释一下cookie的功能吧。这要从HTTP协议说起,HTTP是一种无状态协议,即按HTTP协议本身要求,前后两次请求是没有依赖关系的,比如你先浏览哪个网页,再浏览哪个网页,HTTP协议本身是不作限制的。这也正常,协议只提供机制,而不提供策略,完全是情合理的。

 

问题在于现实不同于理想,在实际应用中,一些请求是有依赖关系的,最常见的信箱、论坛和博客等,只有登录成功后,才能使用它的全部功能。登录了,你才能收发邮件,才能发贴子,才能写博客。服务器就需要知道你是否登录了,这个信息就是状态,即登录状态。

 

这个矛盾如何解决呢?如何在无状态的协议上实际有状态的服务呢?得有一种方法才行,这种方法就是cookie,说白了,cookie就是WEB服务器保存客户端(即浏览器)中的状态信息,在后面请求中,浏览器会把这些信息回传给WEB服务器,WEB服务器通过这些cookie检查是否登录过了。当然cookie不限于保存登录信息,它只是一种技术手段,服务器想用它保存什么都行,看需要而定。

 

Cookie为什么会涉及到安全问题呢?这是显而易见的,虽然一般cookie都是经过加密处理过的,正如保险箱里的钱未必是保险的一样,加密后的信息未必不能被泄露。对于设计得不好的服务器程序来说,cookie可以直接被非法利用。

 

既然把cookie放在客户端(即浏览器)会有安全隐患,为什么不把这些状态放在服务器上呢?其实,这也是迫不得已的,这种做法从技术实现上考虑,没有丝毫困难。但是在现实中行不通,你想想,一个网站可能被数以千万的用户使用,有的状态信息可能要保存数月之久,这要保存多少信息!这种做法开销太大。

 

服务器在请求客户端(即浏览器)保存信息时,在下传的HTTP响应头中包含Set-Cookie字段,在客户端(即浏览器)回传信息给服务器时,在HTTP请求头中包含Cookie字段。

 

Cookie的格式为:

key1=value1;key2=value2; expires=...; domain=...; path=...; secure

l         key1=value1;key2=value2;代表服务器所要保存的有效数据。

l         expires表示cookie的生命期,过期之后就无效了,比如有的网站要求你过一段时间后重新登录,就是通过它来实现的。

l         Domainpath表示cookie的作用范围,即在哪些网网页上有效。

l         Secure表示该cookie是不是只适用于HTTPS的请求。

 

下面是一个例子:

telnet www.google.com 80

HEAD /intl/zh-CN/ HTTP/1.1

Host: www.google.com

 

 

HTTP/1.1 200 OK

Cache-Control: private

Content-Type: text/html

Set-Cookie:PREF=ID=2595b468a53b7221:NW=1:TM=1145015023:LM=1145015023:S=iASetSIzh8_sHPue; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com

Server: GWS/2.1

Content-Length: 0

Date: Fri, 14 Apr 2006 11:43:43 GMT

 

Cookie反爬虫】某采购网站Cookie加点选验证码校验分析与实战
吴秋霖的博客
01-31 2544
看似Cookie反爬、实则只是开胃小菜!核心防护在翻页点选验证码验证并生成验证加密参数用以后续翻页请求
python爬虫cookie_【Python】爬虫+Cookie获取
weixin_39689506的博客
12-22 2095
一、前言背景是帮助朋友爬取一个国家网站发布的肺炎疫情统计信息。二、遇到的问题朋友本来是打算按照最基本的方法进行爬取,代码如下:import requestsimport reURL = "xxxxxx"r = requests.get(URL)#print(r)但这样收到服务器的回复是HTTP 412,没有获得正常的回应。这就非常奇怪了,请求的页面看起来也是静态页面,没有跟用户进行交互,用浏览器打...
Cookie安全漫谈
kjfcpua的专栏
03-11 710
在Web应用中,Cookie很容易成为安全问题的一部分。从以往的经验来看,对Cookie在开发过程中的使用,很多开发团队并没有形成共识或者一定的规范,这也使得很多应用中的Cookie成为潜在的易受攻击点。在给Web应用做安全架构评审(Security architecture review)的时候,我通常会问设计人员以下几个问题: 在实际的应用场景中,Cookie被用来做得最多的一件事是
谁窃取了你的剪贴板中的内容?
Purpleendurer@优快云
01-21 2150
Who’s stealing your clipboard contents?谁窃取了你的剪贴板中的内容?Blogger: Tom Olzak 英文来源:http://blogs.techrepublic.com.com/security/?p=137&promo=102&tag=nl.e102&cval=TR_today&ctype=default翻译:endurer2007-01-21
了我的雨伞?
07-23 155
同朋友聊天的时候,他们总是喜欢问我这样的问题“你们提高班又上课呀?累不累呀?”“你们提高班都学点啥呀?”。其实,我也一直在想我们提高班到底在学点什么。如果我跟他们说“我们提高班是通过信息技术,来综合提高我们素质”的话,他肯定是一头雾水;如果我说“我们就是学计算机“,那我又觉得,这是对我们四年所学的一种玷污。 提高班的教育之所以称之为精英教育,之所以不...
你的隐私安全吗:Cookie到底是什么?
wusecaiyun的专栏
12-26 790
你的隐私安全吗:Cookie到底是什么? 2013年03月18日 19:42  创事记微博 作者:杨永林   网易免费邮箱:【公告】用户对信息安全的重视,网易感同身受,并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时,我们将
剪贴板查看神器,看看谁用了你的剪贴板
11-03
剪贴板查看神器,看看谁用了你的剪贴板 实时查看,谁像你的剪贴板复制了内容,也可以调试代码使用
Python爬虫如何搞定Cookie?小白也能学会!
xyh2004的博客
06-14 5408
Chrome DevTools Protocol (CDP) 是Chrome浏览器提供的一套调试协议,允许开发者与浏览器进行深度交互,包括检查和控制页面元素、网络请求、性能分析等。通过这个协议 ,我们可以实时监听浏览器的Network事件,包括Cookie的生成和变化。接入CDP通常需要借助支持此协议的库 ,如Python的pyppeteer或,这些库提供了与Chrome DevTools Protocol交互的高级API。以下以pyppeteer为例说明如何开始:首先,安装pyppeteer。
Python爬虫态获取Cookie
Micrasoft007的博客
10-12 4106
安装扩展 由于态获取cookie需要打开浏览器,所以我们先安装chrome的扩展,不是平常用的客户端,到下方链接处下载 chrome扩展下载地址(点击进入下载界面) 根据当前chrome版本来选择下载 之后根据系统选择对应版本 下载后解压,将chromedriver.exe复制到python目录下的Scripts文件夹内 完成上述步骤后我们来安装selenium库,cmd内键入 python -m pip install selenium 安装完成后我们可以打开一个浏览器测试一下 from sel
python爬虫cookie_python 爬虫如何正确的使用cookie
weixin_39585761的博客
12-22 969
很多时候,我们要查看的内容必须要先登录才能找到,比如知乎的回答,QQ空间的好友列表、微博上关注的人和粉丝等。要使用爬虫直接登录抓取这些信息时,有一个不太好解决的难题,就是这些网站设置的登录规则以及登录时的验证码识别。不过,我们可以想办法绕过去,思路是这样的:先使用浏览器登录,从浏览器获取登录后的“凭证”,然后将这个“凭证”放到爬虫里,模拟用户的行为继续抓取。这里,我们要获取的凭证就是cookie信...
Cookie介绍和运用
自强
06-30 4624
在Servlet中显示地设置和读取Cookie一,什么是Cookie?       Cookie是Web服务器利用set-cookie响应报头发送给客户端的一段消息。客户端在随后的请求中返回给服务器服务器可以读取(而不可以改变)该消息。       Cookie不会以任何方式得到解释和执行,以名-值对的显示保存消息,服务器通过再次发送修改后的cookie来改变cookie。  浏
cookie的理解
阿凡提煮鸡蛋
06-23 181
cookie分两种,一种可以叫做session cookie浏览器关闭就会丢失 一种可以叫做persistent cookie,就是我们通常意义上所说的cookie。 通常服务器端的session是借助于seesion cookie来和客户端交互的。 但如果客户端禁用了cookie的话,session还可以借助于url来和客户端交互。 这就是大家为什么有时候会看到...
cookie名字的来由
膈腧的涂鸦板
01-10 7089
  在我们使用浏览器上网时,总会遇到cookie。在cookie中,记录了你访问每个网站时的一些信息。在英文中,cookie的意思是小甜饼,而为什么会给它起这么一个亲切的名字呢?  google一下,我可以看到下面这样一些解释:   为何要将这种资料卡取名为cookie没有人能说清楚。有人说Cookies 可能源于海外中国餐馆在客人用完餐离开前向客人所赠“幸运小饼干”(fortune cook
cookie在网页中存储用户信息
丽丽大神ing的博客
07-22 618
1. 设置cookie的函数 function setCookie(name, value, days) { if(days) { var date = new Date(); date.setTime(date.getTime() + (days * 24 * 60 * 60 * 1000)); var expires = "; expires=" + date.toGMTSt...
43.mapping的理解
anlanmo0960的博客
02-25 462
主要知识点: mapping的理解 (1)往es里面直接插入数据,es会自建立索引,同时建立type以及对应的mapping (2)mapping中就自定义了每个field的数据类型。 (3)不同的数据类型(如text和date等),可能有的是exact value,有的是full text (4)对于exact value,在分词并建立倒排索引的时候...
Cookie命名的由来
Cookie_huang的博客
12-07 3413
## Cookie命名的由来 据说,以前国外的公司,一般上午10:00 ——10:30这半小时是不工作的,为休息时间,公司一般专门有一个休息区可以休息,休息区中提供咖啡、水、各种饮料及小甜点等,员工休息时,可以尽情的吃。其中有个员工(张三)非常喜欢吃曲奇小饼干,每次只要有,他都会吃很多,吃的时间长了,每次只要他从同事旁边经过,大家不需要看,闻到曲奇饼的气味,都知道是张三来了,也就是说,根据这个...
巨潮cookie
最新发布
04-01
### 关于巨潮资讯网Cookie的处理方法 在处理像巨潮资讯网这样的网站时,Cookie通常用于验证用户的会话状态以及防止机器人攻击。以下是针对该问题的具体分析: #### Cookie的作用 Cookie是由服务器生成并返回给客户端的一组数据,在后续请求中会被自附加到HTTP头中以维持会话状态[^1]。对于某些需要登录或者频繁更新内容的服务来说,Cookie尤为重要。 #### 获取和维护Cookie的方法 为了成功抓取目标网页的数据,可以通过以下方式来管理Cookies: 1. **通过`requests.Session()`对象保持连接**: 使用Python中的`requests`库创建一个Session实例可以帮助我们更方便地管理和重用同一个TCP连接下的多个请求之间的Cookies。 ```python import requests session = requests.Session() response = session.post(url_query, headers=headers, params=params) cookies_dict = session.cookies.get_dict() # 提取当前session内的所有cookie ``` 2. **手解析响应中的Set-Cookie字段**: 如果希望更加灵活控制哪些具体的key-value对应该加入下次请求,则可以直接读取Response Headers里的'Set-Cookie'键值,并将其转换成适合的形式再赋值回Header里去。 3. **模拟浏览器行为加载JavaScript脚本产生的额外Cookie**: 部分现代Web应用依赖前端框架执行复杂的逻辑计算得出最终版token作为新的认证依据之一;此时单纯依靠传统的爬虫工具可能无法满足需求,因此推荐采用Selenium WebDriver或者其他支持渲染页面的技术栈完成自化操作流程。 以上三种策略可以根据实际情况单独运用亦或是组合起来达到最佳效果[^2]。 ```python from selenium import webdriver driver = webdriver.Chrome() driver.get('https://example.com/login') # 登录过程省略... selenium_cookies = driver.get_cookies() for cookie in selenium_cookies: session.cookies.set(cookie['name'], cookie['value']) ``` ### 注意事项 当遇到反爬措施较强劲的目标站点时,请务必遵循其robots.txt文件规定以及其他公开声明条款合法合规开展工作。
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值