cookie 和 session 学习中的一点想法

最新推荐文章于 2022-02-25 15:07:05 发布
最新推荐文章于 2022-02-25 15:07:05 发布
阅读量122 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ckxkobe/article/details/85077001
本文探讨了PHP中Session机制的安全性问题,特别是会话固定攻击的原理及防御措施。介绍了攻击者如何利用PHPSESSID进行伪装,以及通过重新生成SessionID和增加额外验证方式来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

php 中的sessionID 有放在 cookie 的 PHPSESSID 中的

服务端只认 PHPSESSID 的话,那么只要通过某种方式获取到了某一个合法的 PHPSESSID
攻击者就可以通过这个 PHPSESSID 伪装成合法用户,请求服务器,造成安全问题

在体验 cookie 和 session 保存数据的时候
发现 php 的 session 认证机制,是 cookies 中,如果有 PHPSESSID ,而其值不存在
那么,会重新创建一个 session
这时候,如果攻击者通过某种方式,让受害者以攻击者设置的 PHPSESSID 向服务器发起请求
那么受害者的 session 的数据就会存在这个 PHPSESSID 指向的 session 中
这样攻击者也可以通过这个 id 访问受害者的 session 的数据

然后查了文章后,发现这似乎就是会话固定攻击方式
这种方式的解决办法,通常是,在用户登录之后,就重新生成一个 sessionID
这样可以避免攻击者使用他的 PHPSESSID 伪装受害者访问服务器

还有的方法是,在服务端添加验证方式
不单单使用 sessionID 来验证

如,使用请求头中的部分信息和自定义的字段等组合,再加密,然后信息对比等等
具体方式应该有很多

只是总结下今天学习 cookie 和 session 机制的想法

参考资料:
https://www.freebuf.com/articles/web/10369.html

php后端面试题实战整合(最全附答案)
向宇
12-09 7688
mysql索引优化三范式存储引擎myisaminnodb锁事务explain查询优化主从复制读写分离 linux命令高并发权限管理RBAC redismemecache超卖微信支付第三方登录MVC getpost php魔术方法常量 apachengiux 错误码 安全验证错误等级错误日志数组递归冒泡排序快速排序composer框架区别安全攻击设计模式tcp/udpsession面向对象多继承 正则swoole设计模式AJAX大流量单点登陆SSO正反向代理负载均衡seo优化加密方式 php8新特性
Cookie/Session详解
tao438031498的博客
08-20 282
Cookie/Session详解 写的比较仓促,又理解不到位的地方望各位指正。 1.1  为什么需要Cookie/Session HTTP是一种无状态的协议,什么是无状态,有点晦涩。下面从HTTP协议的流程来解释,Http协议是采用请求/响应的模式,请求响应结束后,客户端与服务器的链接就会关闭,当客户端再次请求服务器时,无法从服务器中获取上次链接的信息。从这个流程中可以把无状态理解成
COOKIESESSION比较
qq_27873263的博客
10-24 321
最近发现写博客也是提高学习效率的有效途径之一。好记性不如烂笔头,归纳总结时,你会发现总有一些东西你认为很熟了,它却在细微处讽刺你的错误。我学习COOKIESESSION时,几乎把社区所有相关的帖子都下载了,研究过后,总结了这么点东西,权做备案,日后需要再慢慢查阅!如果有人觉得这篇博客里的内容似曾相识也不要奇怪,这只是笔记,没有侵犯版权的意思。欢迎大家来指点错误,我们一起来完善这个课题。
关于php中cookiesession的理解
weixin_33885676的博客
03-11 132
2019独角兽企业重金招聘Python工程师标准>>> ...
sessioncookie原理
sylvilagus的专栏
12-09 636
本文转载自:http://netsecurity.51cto.com/art/201402/428721.htm 有一点我们必须承认,大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最后,我会一步步阐述如何使用
cookiesession的实质分析
woshiliulei0的专栏
04-20 369
一点我们必须承认,大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最后,我会一步步阐述如何使用一些简单,高效的方法来提高你的php应用程序的安全性以及稳定行。 我想大多数的php初级程序员一定会认为php默认
完全PHP5笔记之(COOKIESESSION篇)
因为我很笨拙。
07-11 2885
最近发现写博客也是提高学习效率的有效途径之一。好记性不如烂笔头,归纳总结时,你会发现总有一些东西你认为很熟了,它却在细微处讽刺你的错误。我学习COOKIESESSION 时,几乎把社区所有相关的帖子都下载了,研究过后,总结了这么点东西,权做备案,日后需要再慢慢查阅!如果有人觉得这篇博客里的内容似曾相识也不要奇怪,这只是笔记,没有侵犯版权的意思。欢迎大家来指点错误,我们一起来完善这个课题。
Cookie的使用细节;Session的概述
qq_40267706的博客
11-25 337
Cookie的使用细节 Cookie的使用细节 Cookie的使用细节总结 一个Cookie只能标识一种信息(只有一个键值对),至少含有一个标识该信息的名称值。 一个web站点可以给一个浏览器发送多个Cookie。一个web浏览器可以存储多个web站点的Cookie。 浏览器一般只允许存放300个Cookie,每个站点最多可以存放20个Cookie,每个Cookie
session的安全问题怎样防止劫持session
白客不白
08-07 3304
hi
Spring-Session实现session共享原理及解析
Along1325的博客
02-25 1万+
Spring-Session的实现就是设计一个过滤器Filter,当Web服务器接收到http请求后,当请求进入对应的Filter进行过滤,利用HttpServletRequestWrapper,实现自己的 getSession()方法,接管创建管理Session数据的工作。将原本需要由web服务器创建会话的过程转交给Spring-Session进行创建,本来创建的会话保存在Web服务器内存中,通过Spring-Session创建的会话信息可以保存第三方的服务中,如:redis,mysql等。Web服务器
写给android工程师的cookie分析
一只修仙的猿
03-23 310
前言 很高兴遇见你~ cookie在HTTP1.1版本中被添加,目的是为了解决HTTP的无状态特性,使HTTP变得“有状态”。 我们在做android开发,很多时候并不能很好理解cookie的存在价值、优化。这其实正常。Http中文翻译为超文本传输协议,是为web开发的传输协议。而cookie作为其中的一个功能,他的设计自然也是服务于web。为了更好地理解cookie他的本质,需要站在web开发的角度来理解他,具体而言就是使用浏览器网页具体化客户端。 android的发展要比web晚的多。虽然都使用cook
WEB前端开发学习小结
Jack 架构师之路
08-27 1万+
引言   在经过了将近六个月的学习时间终于对B/S的学习有了一定认识,在这段时间里可以说自己的收获非常的多,从一个 对web开发没有任何基础的小小小菜鸟变为了一个菜鸟,虽然自己现在还是一个菜鸟,但是自己半年前的自己对比进 步还是巨大的,因为现在的自己至少到了知道“是什么?”的阶段,对已项目中用到的知识还是比较熟悉的(宏观), 在这个过程中也会因为一个错误困扰自己很
从不学无术到学习汇编语言的感想
lz_zl_的博客
10-30 4395
1.我为什么学习汇编语言? 事实上我真正开始学习计算机编程以及各方面的知识,也就是一年半之前,一开始的c语言我并没有认真去学,可以说完全没学,整天浸泡在dota当中,在do了一年之后,我又重新拾起了我的自制力,开始学习编程,正是一年半之前,我们正在学习数据结构,当时对于没有一点c语言基础的渣渣,我甚至连for循环都不会写,但我并没有重新去学习c语言,我直接上手数据结构c语言实现,当时头很大,整天
js中.stopPropagation().stopImmediatePropagation()的区别
ckxkobe的博客
12-05 4386
js中stopPropagationstopImmediatePropagation的区别 先上结论: .stopPropagation(),会阻止事件继续分发到其他document节点,但是当前节点绑定的多个事件会继续按注册的顺序执行 .stopImmediatePropagation(),不仅阻止事件继续分发到其他document,还会将事件分发就地停止,在当前事件之后注册的其他事件,都不会...
js重复创建定时器的解决
ckxkobe的博客
12-03 2902
js重复创建定时器的解决1. 问题描述2. 问题分析2. 解决思路 解决重复创建定时器的BUG 1. 问题描述 在点击事件中创建定时器,制作一些动画,如果重复点击,会导致动画的速度加快 如,下面的星星随机移动的主代码: function f1() { var i = 0;//测试用,执行5次,就清除定时器 var timerId = setInterval(func...
弹性盒子的行高设置文字垂直居中
ckxkobe的博客
11-29 2799
弹性盒子的行高设置文字垂直居中 行高设置居中对齐,是针对内容宽度 在CSS3的border-sizing模式下,是内减模式 所以要减去paddingborder 要小心 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document
JSON格式的数据及遍历(点语法中括号的区别)
ckxkobe的博客
11-30 1473
JSON格式的数据及遍历(点语法中括号的区别) 在遍历对象的时候,要使用[""]的形式 点语法会创建属性,所以不可以跟变量 var json = { name: "cxy", age: "19", sex: "male" } // json数据格式 // var json = { // "nam
js事件捕获 目标阶段 事件冒泡
ckxkobe的博客
12-03 1125
js事件捕获 目标阶段 事件冒泡 参考文章 https://segmentfault.com/a/1190000012729080 事件流包含三个阶段 事件捕获 目标阶段 事件冒泡 处于相应阶段内的元素,响应事件就是按照事件的注册顺序来进行相应阶段的触发,比如都是捕获阶段的多个处理函数,就会依照注册顺序执行 stopImmediatePropagation会阻止事件的传播,也会阻止在其执行之后...
trigger的原生js实现(dispatchEvent的一点解惑)
ckxkobe的博客
01-10 1005
trigger的原生js实现(dispatchEvent的一点解惑)
Java中CookieSession的应用教程
在Web开发中,状态管理是一个核心概念,...通过上述示例分析,我们可以看到,在Java Web应用中,使用CookieSession进行状态管理是一种非常常见便捷的方法。开发者需要了解这些基础知识,并根据实际情况灵活运用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值