网络安全
关注
分享
扫一扫
a坤
这个作者很懒,什么都没留下…
展开
-
传统的session认证以及其缺点
定义:http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了,这就是传统的session认...原创 2018-06-12 18:00:30 · 2554 阅读 · 0 评论 -
HTTP协议的 “无连接,无状态”
无连接的含义:是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。无状态的含义:是指协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。即我们给服务器发送 HTTP 请求之后,服务器根据请求,会给我们发送数据过来,但是,发送完,不会记录任何信息。这里需要注意的是:标准的http协议指的是不包括cookies...原创 2018-10-29 16:09:25 · 702 阅读 · 0 评论 -
cookie是不能跨域访问的,为什么会有csrf攻击?
浏览器会依据加载的域名附带上对应域名cookie。就是如果用户在a网站登录且生成了授权的cookies,然后访问b网站,b站故意构造请求a站的请求,如删除操作之类的,用script,img或者iframe之类的加载a站着个地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成crsf,会删除掉当前用户的数据。注释:script、image、iframe的src都不受同源策略的...原创 2018-10-29 16:14:53 · 5332 阅读 · 1 评论