web - cookie

理解Web Cookie的类型、属性及操作
最新推荐文章于 2025-12-02 21:20:38 发布
原创 最新推荐文章于 2025-12-02 21:20:38 发布 · 136 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细解析了Web Cookie的两种类型——会话Cookie和持久化Cookie,介绍了Cookie的基本属性及其在Web开发中的作用。同时,文章还演示了如何在不同环境下创建和管理Cookie,包括使用Java和JSP进行持久化Cookie的创建。此外,文章讨论了网站登录中持久化Cookie的使用策略,强调了Cookie安全性的重要性,并提供了Cookie传输机制的概述。

1. cookie 分为:会话cookie和持久化cookie两种。

       ● 会话cookie只存在于内存中;

       ● 持久化cookie可以存在几个月甚至几年,持久化cookie创建后,会被浏览器长久地保存在用户的电脑上。(如IE存在这个文件夹里:\Documents and Settings\[user]\Cookies)

2. cookie 属性

       expires/max-age  -   指定了cookie的生存期,默认情况下cookie是暂时存在的

       domain - 可以使多个web服务器共享cookie。

       path -

       secure - 它是一个布尔值,指定在网络上如何传输cookie,默认是不安全的,通过一个普通的http连接传输,sercure为true是 通过https传输。

       httpOnly - 限制范文cookie的方式。

       有关安全性:http://www.educity.cn/wenda/100626.html

3.cookie的传输

      浏览器将cookie信息以name-value对的形式存储于本地,每当请求新文档时,浏览器将发送Cookie

      详情参照: http://www.chinaz.com/web/2012/0905/272814.shtml

4.创建cookie

     ● 创建会话cookie

        通过Response.Cookies集合添加cookie来创建新的cookie。

     ● 创建持久化cookie

        如果希望创建持久化cookies,则需要为cookie指定一个过期时间。如下面程序中Respo.Cookies["counter"].Expires = DataTime.Now.AddYears(2);

         jsp创建cookie: http://www.cnblogs.com/hellolong/archive/2012/11/15/2771437.html

         java创建cookie:  http://bbs.youkuaiyun.com/topics/390940551

5.网站登录持久化cookie方案

         前提

         1. Cookie 是脆弱的。cookie 容易被窃取和受到垮站脚本的攻击,我们必须接受 cookie 是不安全的。
         2. 持久化登录 cookies 使得它们能通过网站的认证。这跟使用用户名和密码登录是相同的。
         3. 能从登录 cookie 里恢复密码的设计比不能恢复更危险。
         4. 把持久化 cookie 跟 ip 绑定起来大多数时候使它们并不持久。
         5. 用户可能希望同时把 cookie 持久保存在多个浏览器,多台机器上

         http://www.jb51.net/article/48803.htm

6. cookie机制

http://wenku.baidu.com/link?url=NG52ydQ8G8HMzMxVzN273gBXOESVx2X9xOgHu5qbk5zISdX6Ipi0cx8gsHEpbQydOA0yZWmzcs-Xi50_GzBjP5ahdA49jeyAyxqFOtW7BPy

7. 读写cookie 

http://blog.youkuaiyun.com/ago52030/article/details/1834237

http://www.cnblogs.com/muzongyan/archive/2010/08/30/1812552.html

 

        

 

 

      

CG-CTF-Web-COOKIE
1stPeak's Blog
06-28 2747
COOKIE 1.题目 2.访问题目地址,页面无显示 源代码无显示: 3.那就抓包!! 看到上图中的Cookie,让我又联想到题目Cookie与Tip:0==not 一开始我还真是使用Login=not来发包,结果得不到flag,原来它这个Tip是告诉你0是错误的,并不是0=not,并且,这里是==,又让我想到会不会是弱类型比较(最后返回true(表示是1)或者false(表示0))。 ...
CTFHUB-技能树-Web前置技能-Cookie
Static______的博客
03-26 1019
跟踪:购物网站使用 Cookie 来跟踪用户以前查看过的商品,使网站能够向用户推荐他们可能喜欢的其他商品,并在用户继续在网站其他部分购物时保留购物车中的商品。Cookie 存储在您的设备本地,以释放网站服务器的存储空间。您可能会查看网站的某些项目或部分内容,Cookie 使用此数据帮助制作您可能喜欢的定向广告。会话管理:例如,Cookie 使网站能够识别用户并记住他们的个人登录信息和偏好,例如体育新闻与政治。域名下的Cookie 值一般来说是最大是 4KB,存储是以 Name=Value 的形式。
攻防世界 web cookie
Kni9hT's Blog
02-27 1919
终于用上Burp了,web题不可缺少之利器! 我们启用kali来做这一题。直接打开网址,如下图所示: 在URL后面加上/cookie.php,如下图所示: 给的提示是"See the http response" 上Burp suite进行抓包。 注意在抓包前要对浏览器进行如下设置(具体的Burp suite使用方法自行百度) 打开burp suite,浏览器访问~/cookie.php,...
攻防世界web——cookie
CNS-Enterprise BCC-1701-J
10-13 1712
进入场景(火狐浏览器,Chrome等类似) cookie相关,F12打开控制台,输入document.cookie,返回信息提示一个PHP文件 要我们查看响应报文 F12,调到网络窗口,选中“cookie.php”文件,选中“消息头”,向下翻,找到“响应头”,发现flag字符串 ...
js-cookie使用方法
qq_43248623的博客
03-22 4060
js-cookie使用方法 js-cookie用来处理cookie相关的插件,非常简单好用,下面简单记录一下: 1、项目中引用: npm install --save js-cookie 2、js-cookie的使用: 安装好js-cookie插件后,在我们需要处理cookie的地方,简单的通过import引入就可以使用了 import Cookies from 'js-cookie' 3、js-cookie的増、查、删 添加cookie // 创建一个名称为name,对应值为value的cookie
web网络安全---cookie
2401_84488651的博客
05-15 922
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
关于 HTTP 请求响应字段 Set-cookie 的作用
孔乙己的博客
08-22 2838
Set-CookieSet-Cookie作为HTTP协议的一部分,在 Web 开发中起到了至关重要的作用。它不仅仅是一个简单的头字段,而是一个强大的工具,可以用于管理用户状态、增强安全性和个性化用户体验。通过深入理解Set-Cookie的工作机制和属性,开发者可以创建出更安全、更高效的 Web 应用,同时为用户提供更好的体验。这个工具的精妙之处在于它的灵活性,可以适应不同场景下的需求,从而在各种复杂的 Web 开发项目中发挥关键作用。
Http 请求头Cookie,响应头Set-Cookie
热门推荐
WebFrontEnd_TL
01-25 2万+
目录CookieSet-Cookie属性Example Cookie Http请求头 由服务器使用set-Cookie头发送,或者在Javascript中使用document.cookie设置 语法 Cookie: name=value; name2=value2; name3=value3 Set-Cookie Http响应头 用于从服务器向用户代理发送cookie,然后浏览器会将数据设置给下次请求的Cookie请求头,返回服务器。session功能的类似实现 可以设置多个Set-Cookie在相同的H
Web 基础】Cookie
weixin_44211968的博客
05-11 1586
文章目录一、Cookie 简介二、Cookie 作用三、Cookie 是什么四、Cookie 具体内容五、Cookie 机制参考链接 一、Cookie 简介 Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了 辨别用户身份,进行 Session 跟踪而 储存在用户本地终端 上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 二、Cookie 作用 HTTP 协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份。 Cookie 实际上是一小段的
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
java web-cookie session(csdn)————程序.pdf
12-01
java web-cookie session(csdn)————程序
weapp-cookie:一行代码让微信小程序支持 cookie
03-29
Cookie,但有时候我们现有的后端接口确于依赖 Cookie(比如服务器用户登录态),这个库可用一行代码为你的小程序实现 Cookie 机制,以保证基于 cookie 的服务会话不会失效,与 web 端共用会话机制 Install npm ...
[BJDCTF-2020]Web-Cookie is so subtle
Mrs_H的博客
11-12 766
[BJDCTF-2020]Web-Cookie is so subtle 一.前言 在上一篇有关thinkphp3.2版本的考古漏洞中,我曾提到要先将sql注入漏洞的学习放缓一阵,是时候转头去复习一下其他方面的漏洞了。关于SSTI的话,其实以前是有学习过的,但是大部分关于SSTI的学习都是通过一些简单基础的靶场习题进行学习的,并没有学太多原理方面的知识。从现在开始,要通过BUU的靶场对SSTI的类型习题做一下集中的复习了。 正文 作为我开始复习SSTI的第一篇习题,我并没有选择太难的题目,选择了一个较为简单
Java 泛型详解:类型参数的力量
ZHE|张恒的博客
11-28 1159
本文系统讲解了Java泛型的概念与使用方式。泛型通过在类或方法中引入类型参数,提高了代码的类型安全性和复用性。主要内容包括:1)泛型的基本语法,如定义泛型类和接口;2)泛型方法及其类型推断;3)三种通配符(?、? extends T、? super T)的使用场景;4)边界限制和多重限制;5)泛型的优缺点,如类型安全与类型擦除的影响;6)常见陷阱,如静态上下文和instanceof的限制。泛型是现代Java编程的重要特性,能显著减少类型转换和运行时错误。
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 465
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
【Android逆向工程】第8章:Frida 高级应用:函数追踪与 RPC 调用
w987333120的博客
12-01 341
本文介绍了Frida框架的核心功能与应用技巧,包括函数调用栈追踪、RPC机制、批量Hook、内存操作和脚本模块化等关键技术。重点讲解了Thread.backtrace()和DebugSymbol.fromAddress()的用法,提供Java和Native函数的调用栈追踪示例,并展示了调用栈过滤与分析方法。最后通过实战案例演示登录流程追踪和RPC调用,同时给出常见问题解决方案。这些技术可有效提升逆向分析效率,适用于移动应用安全测试场景。
蓝桥杯20534爆破 java
最新发布
2302_80219214的博客
12-02 279
我们可以用Prim 算法,该算法的核心是从一个起点开始,逐步将距离当前连通集合最近的节点加入集合,最终形成最小生成树。
07_Spring AI 干货笔记之提示词
在科技的浪潮中,我们寻找着创新的火种,在代码的海洋里,我们编织着智慧的网。腾飞开源,就是这样一个由技术精英汇聚而成的博客平台,我们致力于分享在Java、Python、IoT和人工智能等领域的最新研究成果和实战经验。 在腾飞开源的博客上,你会看到紧跟技术前
11-30 1592
本文详细介绍了Spring AI中的提示词核心概念与API设计。提示词作为引导AI模型生成特定输出的关键输入,其结构从简单字符串演进为包含多角色消息的复杂形式。Spring AI通过Prompt和Message接口提供结构化提示词管理,支持系统、用户、助手等角色分配。PromptTemplate类实现动态内容渲染,并支持自定义模板引擎。文章还涵盖提示词工程的最佳实践与令牌机制,为开发者提供完整的提示词设计解决方案。
攻防世界web-cookie
04-02
### Web Cookie 的安全性及攻防技术 #### HttpOnly 属性的作用 为了防止跨站脚本攻击(XSS),Web 应用程序可以通过设置 `HttpOnly` 属性来增强 cookie 的安全性。当一个 cookie 被标记为 `HttpOnly` 时,浏览器会阻止 JavaScript 访问该 cookie,从而减少因 XSS 攻击而导致的敏感数据泄露风险[^1]。 #### Secure 属性的重要性 除了 `HttpOnly` 外,另一个重要的 cookie 属性是 `Secure`。此属性确保 cookie 只能通过 HTTPS 进行传输,有效防范中间人攻击以及 HTTP 劫持带来的威胁[^4]。因此,在启用 HTTPS 的环境中,建议始终为涉及隐私信息的 cookie 设置 `Secure` 属性。 #### 防范 CSRF 攻击 即使启用了上述防护措施,仍需注意跨站请求伪造 (CSRF) 攻击的风险。如果攻击者能够盗取用户的 cookie 并利用其冒充合法用户执行操作,则可能造成严重后果。例如,攻击者可能会替换目标网站上的认证凭证并尝试恢复密码或其他敏感功能访问权限[^2]。针对此类问题的有效解决方案之一是在表单提交过程中引入一次性令牌验证机制。 #### 测试与检测潜在漏洞 开发人员应定期审查代码逻辑是否存在可能导致暴露 document.cookie 值的情况,比如未加过滤即嵌入外部资源或动态生成 HTML 片段等行为。下面是一个简单的测试案例用于演示如何触发基本类型的反射型 XSS: ```html <script>alert(document.cookie)</script> ``` 这段脚本一旦被执行就会弹窗显示当前页面的所有 cookies 内容[^3]。理想情况下,任何来自不可信源的数据都应当经过严格转义处理后再渲染至前端界面。 --- #### 综合防御策略总结 - **使用 HttpOnly 和 Secure 标志**:最大限度降低客户端脚本读写能力的同时强制采用加密通道传递重要资料; - **实施严格的 CORS 策略**:控制哪些域允许发起跨域请求,缩小受控范围内的交互边界; - **部署 Content Security Policy(CSP)** :定义可加载资源白名单列表进一步压缩恶意注入空间; - **强化身份验证流程**:结合多因子认证方法提高账户接管难度; 以上这些最佳实践结合起来可以帮助构建更加健壮可靠的 web application security framework.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值