HttpClient 4.0 保持登录session 访问网页

最新推荐文章于 2021-06-09 22:10:18 发布
转载 最新推荐文章于 2021-06-09 22:10:18 发布 · 173 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/janson2013/blog/145405
文章标签:

#web安全

本文探讨了黑客如何利用XSS攻击获取用户cookie,实现免登录访问目标网站。介绍了使用HttpClient库处理cookie的方法,包括设置CookieStore和通过Header添加cookie,以保持session并执行需登录操作。

所以在web安全里,黑客通过XSS,最终目的就是获取cookie,从免登录直接进入系统。

这次要讲的是,得到用户cookie后,免登录,用HttpClient 保持原来session访问原本一定要登录才能做的事。

HttpClient 4.x 库可以自己处理Cookie
有两咱广度可以添加cookie,
1.通过  httpclient.setCookieStore(cookieStore)
2.通过  httpGet 或者 httpPost 的addHeader(new BasicHeader("Cookie",cookie));


第一种,
HttpClient是否在下次请求中携带从服务器端请求来的Cookie,完全是由设置决定的。

httpclient.getParams.setParameter(ClientPNames.COOKIE_POLICY, CookiePolicy.BEST_MATCH) 或者 CookiePolicy.BROWSER_COMPATIBILITY
如果设置为Cookie策略为BEST_MATCH,或BROWSER_COMPATIBILITY的话,HttpClient会在请求中携带由服务器返回的Cookie。如果不设置,应该需要手动添加了CookieStore,才会保持sesson.

如果设置为Cookie策略为默认的话,没设置,则需要手动通过
httpclient.setCookieStore(cookieStore); 去设置.

注:如果用的是同一个HttpClient(上下两个请求用同一个httpclient对象。
且没去手动连接放掉client.getConnectionManager().shutdown(); )!
都不用去设置cookie的ClientPNames.COOKIE_POLICY。httpclient都是会保留cookie的!


第二种,
通过Header去设置cookie,这种方法,就是今天要用的应用场景,
我们得到一个登录的cookie,免登录访问。
可以用浏览器登录,然后f12通过console 执行 document.cookie 得到cookie,
用这个cookie ,在访问时,设置  httpGet 或者 httpPost 的addHeader(new BasicHeader("Cookie",cookie));就可以免登录访问。


这种场景我用来用第一种方法,设置没成功,可能是因为用第一种时,没设置path,domain,expire 的原因,我猪的。

这种场景可以解决第一次登录也需要验证码的网站。没有登录就没办法发布或刷新信息。
如赶集网。

转载于:https://my.oschina.net/janson2013/blog/145405

chuokai1228
关注
Web表单与会话技术_用户登录Session会话
Jia_jinjin的博客
11-25 843
1、编写用户登录页面(login_html.php) <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>用户登录</title> </head> <body> <form method="post"> <table> <tr><th>用户名</th
SSO 单点登录 CAS4.0 环境的搭建
xuziyue214的博客
02-24 1001
单点登录(Single Sign On,简称SSO)是目前比较流行的服务于企业业务整合的解决方案之一,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对Web应用的单点登录框架,这里就说说使用CAS实现SSO的方式。
Java 使用HttpClient保持SESSION状态
08-07
NULL 博文链接:https://piranha.iteye.com/blog/2119924
httpclient如何保持session会话模拟登录后的操作
03-21
NULL 博文链接:https://shaozhen.iteye.com/blog/946680
HttpClient简单请求和session保持
wangxianhong的专栏
06-16 2903
HttpClient是一个客户端的HTTP通信实现库,目标是发送和接受HTTP请求。HTTPClient维护cookies,session保持在客户端就是cookie的体现。HttpClinet的session保持有两种方式,一种是将HttpClient实例保存于web应用的session中,再次请求时取出,因为httpclient会维持cookies。另一种是再次请求时,将上次请求获取的co
html session登录,一个小的登录查看的session案例
weixin_39961522的博客
06-07 625
需求1,创建两个页面,一个是登录页面,一个是登录成功后,显示个人信息的页面2,登录页面是基于session3、数据表(男生,女生,男女关系)4登录页(用户名,密码,性别,一周免登陆)5、内容页,异性列表和有关系的列表设计views的改变把登陆的代码和关系内容的代码分开,所以创建了views目录,并且把不同的内容写到了不同的模块中。如图各个py文件代码from django.shortcuts i...
cas4.0.7问题集锦-------二、第三方登录cas
m0_38025191的博客
01-22 311
1.需要配置 &lt;bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager"&gt; &lt;constructor-arg&gt; &lt;map&gt; &lt;ent...
[ JavaCrawler ]利用Jsoup与 HttpCLient爬取豆瓣电影数据
qq_41586476的博客
03-30 1480
利用Jsoup与 HttpCLient爬取豆瓣电影数据1.解析页面影片信息的地址栏链接存储影片信息的实际链接2.需要爬取的信息3.编写工具类HttpUtilsMybatisUtilsOtherUtils3.编写Task 1.解析页面 影片信息的地址栏链接 首先访问需要爬取的页面 https://movie.douban.com/tag/#/?sort=U&range=0,10&amp...
CAS4.0配置Mysql数据库,认证失败
yangxw28的博客
07-03 736
##CAS4.0配置Mysql数据库,认证失败 真崩溃啊,看别人的视频都能成功,自己研究一下午了,也还是不行。问题出在哪儿呢?请大神指教。 三个jar包: 代码片. <?xml version="1.0" encoding="UTF-8"?> <!-- Licensed to Jasig under one or more contributor license agreements. See the NOTICE file distributed with t
【Java HttpClient与HTTPS重定向处理】:安全有效策略
[【Java HttpClient与HTTPS重定向处理】:安全有效策略](https://media.geeksforgeeks.org/wp-content/uploads/20240425005610/ssl-client-op.png) # 摘要 本文系统性地介绍了Java HttpClient在HTTPS重定向中的应用...
html asp 简单 登录系统,asp用session登录页面
weixin_29179311的博客
06-09 1066
asp写登陆页面。利用session记录用户信息。先建好数据库连接文件,命名为conn.asp。 1:登录页面 login.htm 登录 用户名: 密 码: 2:登录检测页面 go.aspasp网页登录后显示用户名,怎样用session就好像在图片欢迎登录中间显示每个登录不同的用户名asp中SESSION 具体用法ASP 中 session 的用法。CSS布局HTML小编今天和大家分享ASP 中...
我网站用session做的登录,为什么清除浏览器数据后还是得重新登录session是存在服务器上的。...
weixin_30663471的博客
07-02 769
答案一: 你清除了浏览器数据,相当于把cookie也清了,那么你的sessionId也就没有了,所以你再次请求的时候服务器无法根据你携带的sessionid来获取对应的session,所以说需要重新登录。 答案二: session是通过每次请求的时候传递一个session_id的值来保存会话的,而传递的方式有两种,一种是通过每次请求时携带的cookies,还是有一种是通过url来传递,如果你...
使用session实现网站N天免登陆
凯旋的博客
08-19 1万+
一些网站的3天免登陆是如何做到的?     方式一:首先想到的是使用cookie保存用户登录信息,设置有效期,在用户下次访问时免去登录环节,直接通过cookie获取用户信息。     方式二:直接将session会话保存,用户下次访问时,继续使用这个session。 相比之下session显得更加安全,但是,大家知道,session会随着浏览器的关闭而消失(确切的说,是在客户
HttpClient模仿登陆并维持同一session请求(HttpClient4.3.X以上版本)
热门推荐
零度的博客专栏
07-01 2万+
有时我们会碰到一种应用场景:就是在请求服务器前需要先验证用户合法,验证通过后,服务器保持保持同一sessionID与客户端交互,下面我模拟这种场景,用户首先发送post请求进行身份验证,通过后,继续发送上传文件的请求,服务器端需要保证只有登录成功的用户才能上传图片。工具类及测试代码如下: package zmx.httpclient.test; import java.io.File; imp
httpClient 保持session
freellf的专栏
02-24 617
httpClient 保持session import org.apache.commons.httpclient.Cookie; import org.apache.commons.httpclient.HttpClient; import org.apache.commons.httpclient.cookie.CookiePolicy; import org.apache.commons.httpclient.NameValuePair; import org.apache.
HttpClient 模拟登录保持session并继续进行登录后操作
懒得不想说话
09-08 5574
 公司考勤签到,每天都要登录系统签到,于是就在想:如果可以每天自动签到就好了。 看了http://unmi.cc/httpclient-login-session/这篇微博,也试着写了下。 大概思路是:模拟登录考勤系统,调用“打点接口”. import org.apache.commons.httpclient.Cookie; import org.apache.commons.http...
httpclient妙用二 httpclient保持会话登录
zhuliliang的博客
01-23 8215
httpclient妙用一 httpclient作为客户端调用webservicehttp://aperise.iteye.com/blog/2223454 httpclient妙用二 httpclient保持会话登录http://aperise.iteye.com/blog/2223470 httpclient连接池http://aperise.iteye.com/blog/2295153
HttpClient保持session
zz_xyz的博客
04-05 564
使用同一个 HttpClient,请求同一个网站的不同url,session保持不变 反之,使用不同的 HttpClient,请求同一个网站的同或者不同url,session要变 public class Testy1 { public static void main(String[] args) throws HttpException, IOException { ...
httpclient4.0使用教程及示例下载指南
标签“httpclient4.0”、“httpclient例子”和“帮助文档”说明了本文件的核心内容。标签帮助用户定位到他们感兴趣的方面,如HTTPClient 4.0的详细使用说明、实例代码和帮助指南。 #### 文件名称列表解析 文件名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值