Cookie的原理解析——利用服务器发送来的Cookie进行判断并保存一些信息

最新推荐文章于 2023-03-06 11:26:01 发布
最新推荐文章于 2023-03-06 11:26:01 发布 · 603 阅读 · 2
文章标签:

#php #xcode

本文详细介绍了Cookie的工作原理及在Web开发中的应用,包括登录状态管理、购物车功能实现,以及如何通过代码示例追踪和读取服务器端返回的Cookie。重点强调了Cookie的安全限制及其适用场景。

Cookie

(1)Cookie由服务器端生成,发送给客户端。

(2)客户端将Cookie的key/value 保存到某个目录下的文本文件内。

(3)如果客户端支持Cookie,下次请求同一网站时就可以Cookie直接发送给服务器。

(4)Cookie名称和值由服务器端开发自己定义。

Cookie 最典型的应用是判定注册用户是否已经登录,记录用户登录信息,简化下次登录的过程。比如:登陆一次不退出下一次不用再登录,Cookie一般只保存0或1判断登录状态。

另外一个最重要的应用场合是“购物车”。可以保存客户添加商品的信息,比如相机等,可以保存一个标示符。

另外需要注意的是Cookie是由服务器端生成并发送给客户端的,我们把本地服务器打开后,并在Sites(存放本地服务器网站的文件夹)中添加login2.html和login2.php ,并用正确的用户名和密码在火狐浏览器进行测试如下所示,登陆后再次重新登录发现生成了Cookie。


为了对比服务器端的login.php和login2.php有何不同 操作步骤如下:

右键Xcode图标——>Open Developer Tool——>FileMerge


选择login.php和login2.php 对比 不同之处如下:


验证如下:


代码如下:

<span style="font-size:18px;">//
//  ViewController.m
//  Cookie使用
//
//  Created by apple on 15/10/29.
//  Copyright (c) 2015年 LiuXun. All rights reserved.
//

#import "ViewController.h"

@interface ViewController ()

@end

@implementation ViewController

- (void)viewDidLoad {
    [super viewDidLoad];
    
    // 跟踪服务器端返回的Cookie,都在NSHTTPCookieStorage单例对象内。
    // 如果服务器端每返回任何Cookie, 就对应一个NSHTTPCookie对象
    NSLog(@"%@", [NSHTTPCookieStorage sharedHTTPCookieStorage].cookies);
    
    // 以用户的登录为例进行演示从Cookie里面读取内容
    for (NSHTTPCookie *cookie in [NSHTTPCookieStorage sharedHTTPCookieStorage].cookies) {
        // 数组里面存放的是NSHTTPCookie对象
        // NSHTTPCookie对象里面有个properties属性字典
        // 字典里userName对应的值,就是服务器返回的cookie的内容
        // 字典里userPassword对应的值,就是服务器返回的cookie的内容
        NSLog(@"%@", cookie.properties);
        if ([cookie.name isEqualToString:@"userName"]) {
            NSLog(@"记录的用户名 %@", cookie.value);
        }else if ([cookie.name isEqualToString:@"userPassword"])
        {
            NSLog(@"记录的密码  %@", cookie.value);
        }
    }
}

-(void)touchesBegan:(NSSet *)touches withEvent:(UIEvent *)event
{
    // 1. url
    NSURL *url = [NSURL URLWithString:@"http://127.0.0.1/login2.php"];
    
    // 2. 请求
    NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url cachePolicy:1 timeoutInterval:2.0f];
    
    // 2.1
    request.HTTPMethod = @"POST";
    
    // 2.2 设置数据体
    //    NSString *body = @"username=zhangsan&password=zhang";
    //
    //    request.HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
    
    
    // 3. 连接
    [NSURLConnection sendAsynchronousRequest:request queue:[NSOperationQueue mainQueue] completionHandler:^(NSURLResponse *response, NSData *data, NSError *connectionError) {
        NSError *error =nil;
        id result = [NSJSONSerialization JSONObjectWithData:data options:0 error:&error];
        if (error) {
            NSLog(@"%@", [error localizedDescription]);
        }
        NSLog(@"%@", result);
        
    }];
    
}
@end</span>
第一次发送数据体,运行结果如下:



打开沙盒路径发现生成了Cookies文件夹,打开如下:


使用终端打开此Cookies文件夹内的文件如下:


第二次不发送数据体,重新运行如下:


说明第二次是客户端直接从沙盒Cookie文件中读取的第一次服务器端发送的Cookie信息。

另外 发现Cookie存放的是明文,不安全。只能存放一些别的信息,比如登录状态0或1 购物车等不涉及用户隐私的信息。那么如何判断并跟踪服务器发送到客户端的Cookies呢?

跟踪服务器端返回的Cookie都在NSHTTPCookieStorage单例对象内,每当服务器返回一个Cookie,就对应着一个NSHTTPCookie对象。NSHTTPCookieStorage单例对象的获取方法如下:

+ (NSHTTPCookieStorage *)sharedHTTPCookieStorage;

此单例对象有一个cookies属性数组,数组内的每一个元素都是每一个NSHTTPCookie对象

@property (readonly,copy)NSArray *cookies;

每一个NSHTTPCookie对象都有一个只读的properties字典属性

@property (readonly,copy)NSDictionary *properties;

每一个properties字典属性里都有一个name和value属性,与服务器端的Cookie相对相应。

具体使用如下:

//以用户的登录为例进行演示从Cookie里面读取内容

for (NSHTTPCookie *cookiein [NSHTTPCookieStoragesharedHTTPCookieStorage].cookies) {

//数组里面存放的是NSHTTPCookie对象

// NSHTTPCookie对象里面有个properties属性字典

//字典里userName对应的值,就是服务器返回的cookie的内容

//字典里userPassword对应的值,就是服务器返回的cookie的内容

NSLog(@"%@", cookie.properties);

if ([cookie.nameisEqualToString:@"userName"]) {

NSLog(@"记录的用户名 %@", cookie.value);

}elseif ([cookie.nameisEqualToString:@"userPassword"])

{

NSLog(@"记录的密码 %@", cookie.value);

}

}

打印Cookies内容,并取出指定的内容如下:



iteye_18817
关注
【XSS & CSRF 】泄露cookie——以DVWA-High为例
Mr_Fmnwon的博客
05-23 2267
综合利用XSS以及CSRF实现Cookie的泄露,,,旅程比较曲折跨站脚本攻击XSS(最全最细致的靶场实战)_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。
Cookie 详解
07-14 1万+
一文带你详解Cookie
cookie详解
weboof的博客
08-28 492
常见的浏览器端的数据存储主要包括cookie、sessionStorage、 localStorage三大类。 cookie cookie的出现主要是解决http是无保存状态的协议带来的弊端。
数据存储(一)Cookie
KEEP RUNNING的博客
11-23 2014
用来在客户端存储会话信息,以及和服务端进行通信。
通过Cookie记录用户上次登陆时间判断用户是否是首次登陆
u013733643的博客
05-17 536
Cookie类的构造方法 public Cookie(java.lang.String name,java.lang.String ) 1.创建一个相关的Servlet类 略,自行创建 2.指定服务器输出内容编码方式为utf-8 response.setContentType("text/html;charset=utf-8"); 3.判断是否已有所需Cookie 先设置一个代表所需Cookie的变量 String lastVisitTime = null; 获取当前所有Cookie,存放到数组Coo
cookie练习
m0_72938391的博客
08-22 258
作业
深入解析Session与Cookie的工作原理与区别
之后每次请求到来时,服务器解析请求中的Cookie获取Session ID,查找对应的Session对象,判断用户是否已认证及权限级别,进而决定响应内容。 在实际开中,还需注意多种安全风险。除了前述XSS和CSRF外,Session...
向日葵RCE原理解析——基于逆向工程的静态分析技术
lmboss的博客
03-06 1082
向日葵RCE原理解析——基于逆向工程的静态分析技术
socket.io-cookie:为Socket.IO提供Cookie解析中间件
socket.io 作为最流行的 WebSocket 封装库之一,提供了强大的实时双向通信能力,但在默认情况下,不会自动解析客户端连接时携带的 Cookie 信息。这正是 socket.io-cookie 中间件挥作用的关键所在。 该中间件的...
好好了解一下Cookie(强烈推荐)
01-19
Cookie的诞生 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。 Cookie的处理分为: 服务器客户端cookie 浏览器将cookie保存 之后每次http请求浏览器都会将cookie送给服务器服务器端的送与解析 cookie 服务器端像客户端Cookie是通过HTTP响应报文实现的,在Set-Cookie中设置需要像客户端送的cookiecookie
网站的几种识别用户身份的方法(Cookie 机制)
Passkou
05-18 6286
在网站应用中,由于 HTTP 协议是无状态的,识别不同用户的主要方法是通过 Cookie,即用户在认证后送它让浏览器存储,之后每一次请求中再附带这个请求头信息服务器,这样服务器便知道是哪位用户出的请求。 具体实现方法有哪些呢?下面我将为大家介绍几种常见的通过 Cookie 来识别不同用户的方法。 第一类:信息存用户侧 第一类的方法是将用户的部分信息存在浏览器的 Cookie 中(如用户 ID)。那么首要问题就是要防止被人为修改,因此实现方法有两种。 方法一:Base64 数据 + HMAC 首先,我
全面了解 Cookie的传递流程、编程实现及安全问题
肄若芸(yiruoyun)的专栏
11-23 2283
全面了解 Cookie的传递流程、编程实现及安全问题     Cookie在英文中是小甜品的意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过的网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的
HTTP:客户端识别技术----cookie
OceanStar的博客
08-12 1989
这些服务器通常要记录下它们与谁交谈,而不会认为所有的请求都来自匿名的客户端 HTTP最初是一个匿名、无状态的请求/响应服务。服务器处理来自客户端的请求,然后向客户端回送一条响应。Web服务器几乎没有什么信息可以用来判定是哪个用户送的请求,也无法记录来访用户的请求序列。 后来,Web设计者了提供了一些用户识别机制: 承载用户身份信息的HTTP首部 客户端IP地址跟踪,通过用户的IP地址对其进行识别 用户登录,用认证方式来识别用户 胖URL,一种在URL中嵌入识别信息的技术(很少用) cookie,一种.
使用cookie实现登录状态的保存及判定
热门推荐
Zachery Wu
05-30 2万+
使用cookie实现登录状态的保存及判定Cookie是指某些网站为了辨别用户身份而存储在用户本地终端上的数据(通常经过加密)。所以通过cookie可以实现对用户登录状态的判定,防止用户不经过登录直接进入一些页面,或者进入一些没有权限的页面。那么如何对cookie进行操作呢?对cookie的写操作在cookie中,除了name和value,每条记录还有很多属性,如失效时间,是否采用安全协议传输等等,大
Cookie
weixin_42250357的博客
03-02 1437
Cookies的产生过程 Cookies就是我们所理解的缓存,本地缓存 第一步:我们客户端访问服务端的时候,访问结束服务端便产生一个Cookies 第二步:服务端把Cookies送给客户端(在看完客户端的时候,才送) 第三步:之后再次登录的时候,便能直接获取之前的账号密码(比如咱们的校园网登录就是因为Cookies的存在每次能直接登录) 1.在服务端准备Cookie 因为是构造方法,直接赋值即可,这里我们就模拟用户名=zs 密码=abc 2.增加Cookie 服务端送给客户端需要一个内置对象:resp
Cookie中的secure,httponly的属性和作用
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
01-09 1947
(一)HttpOnly 1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方...
HTTP Cookie
weixin_30445169的博客
05-30 316
Cookie相关的Http头 Set-Cookie Header 在程序中生成expire Cookie相关的Http头 有 两个Http头部和Cookie有关:Set-CookieCookie。 Set-Cookie服务器送,它包含在响应请求的头部中。它用于在客户端创建一个Cookie Cookie头由客户端送,包含在HTTP请求的头部中。注意,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值