转载--HTTP协议 (七) Cookie

最新推荐文章于 2023-08-14 22:44:48 发布
最新推荐文章于 2023-08-14 22:44:48 发布
阅读量652 收藏
点赞数
分类专栏: http 文章标签: 12306自动登陆 https web http协议

转载自:http://www.cnblogs.com/TankXiao/archive/2013/04/15/2848906.html

HTTP协议 (七) Cookie

Cookie是HTTP协议中非常重要的东西, 之前拜读了Fish Li 写的【细说Cookie】, 让我学到了很多东西。Fish的这篇文章写得太经典了。 所以我这篇文章就没有太多内容了。 

最近我打算写一个系列的HTTP文章,我站在HTTP协议的角度, 说说我对Cookie的理解。

 

阅读目录

  1. Cookie是什么,有什么用,为什么要用到Cookie
  2. Cookie的分类
  3. Cookie存在哪里
  4. 使用和禁用Cookie
  5. Fiddler查看HTTP中的Cookie
  6. 网站自动登陆的原理
  7. 截获Cookie,冒充别人身份
  8. Cookie和文件缓存的区别
  9. Cookie泄露隐私
  10. P3P协议

 

Cookie是什么,有什么用,为什么要用到Cookie

请看Fish Li 写的【细说Cookie】

 

Cookie的分类

可以大致把Cookie分为2类: 回话cookie和持久cookie

会话cookie: 是一种临时的cookie,它记录了用户访问站点时的设置和偏好,关闭浏览器,会话cookie就被删除了

持久cookie: 存储在硬盘上,(不管浏览器退出,或者电脑重启,持久cookie都存在), 持久cookie有过期时间

 

Cookie存在哪里

Cookie是存在硬盘上,  IE存cookie的地方和Firefox存cookie的地方不一样。  不同的操作系统也可能存cookie的地方不一样。

不同的浏览器会在各自的独立空间存放Cookie, 互不干涉

以我的windows7, IE8为例,  cookie存在这: C:\Users\xiaoj\AppData\Local\Microsoft\Windows\Temporary Internet Files

注意: 缓存文件和cookie文件,是存在一起的, 都在这个目录下。

你也可以这样找, 打开IE,点击Tools->Internet Options->General Tab下的->Browsing history下的Setting按钮,弹出的对话框中点击View files.

 

不同的网站会有不同的cookie文件

 

使用和禁用Cookie

IE:   工具->Internet 选项 -> 隐私

 

Fiddler查看HTTP中的Cookie

浏览器把cookie通过HTTP Request 中的“Cookie: header”发送给Web服务器

Web服务器通过HTTP Response中的"Set-Cookie: header"把cookie发送给浏览器

使用Fiddler可以清楚地看到cookie在HTTP中传递。 Fiddler工具中可以清晰的看到Http Request 中的Cookie, 和Http Response中的cookie  

实例: 启动Fiddler,  启动浏览器访问一些购物网站,就可以看到。

 

 

网站自动登陆的原理

我们以”博客园自动登陆“的例子,来说明cookie是如何传递的。

大家知道博客园是可以自动登陆的。 如下图,这个是什么原理呢?

假如我已经在登陆页面输入了用户名,密码,选择了保存密码,登陆。

这时候,其实在你的机器上保存好了登陆的cookie, 不信你可以按照上节介绍方法去你的电脑上找下博客园的cookie)  

当我下次访问博客园流程如下。

1. 用户打开IE浏览器,在地址栏上输入www.cnblogs.com.

2. IE首先会在硬盘中查找关于cnblogs.com的cookie. 然后把cookie放到HTTP Request中,再把Request发给Web服务器。

3. Web服务器返回博客园首页(你会看到你已经登陆了)。

 

截获Cookie,冒充别人身份

通过上面这个例子,可以看到cookie是很重要的,识别是否是登陆用户,就是通过cookie。  假如截获了别人的cookie是否可以冒充他人的身份登陆呢?  当然可以, 这就是一种黑客技术叫Cookie欺骗。

利用Cookie 欺骗, 不需要知道用户名密码。就可以直接登录,使用别人的账户做坏事。

我知道有两种方法可以截获他人的cookie,

1. 通过XSS脚步攻击, 获取他人的cookie. 具体原理可以看 [Web安全性测试之XSS]

2. 想办法获取别人电脑上保存的cookie文件(这个比较难)

 

拿到cookie后,就可以冒充别人的身份了。 这个过程我就不演示了。

Cookie和文件缓存的区别

很多人会把cookie和文件缓存弄混淆, 这两个完全是不一样的东西。唯一的相同之处可能是它们俩都存在硬盘上,而且是存在同一个文件夹下。

关于HTTP缓存请看这 【HTTP协议之缓存

我们在IE中可以选择分别删除Cookie和缓存文件

 

 

Cookie 泄露隐私

2013年央视的315晚会上, 曝光了很多不法公司利用Cookie跟踪并采集用户的个人信息,并转卖给网络广告商,形成了一条窃取用户信息的灰色产业链。从而实现广告准确投放。严重干扰了用户的正常网络应用,侵害了个人的隐私和利益。

我经常就在门户网站上发现广告位上显示的是我在电商网站上流量过的商品。  这就是我的cookie被泄露了。

 

目前在欧洲, 已经对Cookie立法, 如果网站需要保存用户的cookie, 必须弹出一个对话框,要用户确认后才能保存Cookie.

 

P3P协议

从上面看来, Cookie 是一个比较容易泄露用户隐私和危险的东西。  有没有办法保护个人用户隐私呢?    那就是P3P协议

P3P是一种被称为个人隐私安全平台项目(the Platform for Privacy Preferences)的标准,能够保护在线隐私权,使Internet冲浪者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个 站点不遵守P3P标准的话,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识破多种Cookies的嵌入方式。p3p是由全球资讯联盟网 所开发的。


ysysbaobei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-core-1.6.0.zip
05-14
Apache Shiro 权限绕过漏洞分析 Apache Shiro ...」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_39513430/article/details/104385519
HTTP协议 () Cookie
weixin_34175509的博客
04-15 215
CookieHTTP协议中非常重要的东西, 之前拜读了Fish Li 写的【细说Cookie】, 让我学到了很多东西。Fish的这篇文章写得太经典了。 所以我这篇文章就没有太多内容了。  最近我打算写一个系列的HTTP文章,我站在HTTP协议的角度, 说说我对Cookie的理解。   阅读目录 Cookie是什么,有什么用,为什么要用到Cookie Cookie的分类 Cooki...
HTTP Cookie 详解二
热门推荐
我的未来从这里开始
03-26 2万+
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。 HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出
HTTP系列八、HTTP的Cookie机制
勇心在馨
06-10 993
HTTP 里“无状态”的特性,服务器是不能感知客户端状态信息,那么可以通过HTTP 的 Cookie 机制,服务器给每个客户端都贴上一张小纸条,上面写了一些只有服务器才能理解的数据,需要的时候客户端把这些信息发给服务器,服务器看到 Cookie,就能够认出对方是谁了。
HTTP 中的 Cookie
镜花水月
08-13 651
一、HTTP && Cookie。 二、Cookie。 三、访问 && 更新 之 Cookie
HTTP之cookie基础学习
weixin_51182789的博客
08-14 1823
cookie 的失效日期并没有改变,因为 cookie 的标识符是相同的。另一个控制 Cookie 消息头发送时机的选项是 path 选项,和 domain 选项类似,path 选项指定了请求的资源 URL 中必须存在指定的路径时,才会发送 Cookie 消息头。当存在一个 cookie,并允许设置可选项,该 cookie 的值会在随后的每次请求中被发送至服务器,cookie 的值被存储在名为 Cookie 的 HTTP 消息头中,并且只包含了 cookie 的值,忽略全部设置选项。
新浪博客营销专家 v10.5.rar
07-15
新浪博客营销专家功能介绍: ...可以批量登陆cookie缓存独立管理,记住登陆,无效号自动删除等功能。 2.支持批量上传头像,修改资料等。...采用安卓协议重新编写核心,实现全自动无验证码。 新浪博客营销专家截图
Apache-Tomcat-8.5.5(Linux )
09-19
Tomcat 8.5.x版本升级变化 By jmatrix_ds | Published 2017 年 1 月 9 日 1. 其中一些重要变化(对HTTP2,SSL支持的改动较多) <1> 不再提供对HTTP BIO,AJP BIO的支持;...转载于http://www.jmatrix.org/day/1186.html
手机QQ协议、3GQQ协议的SDK、QQ空间协议、webQQ协议
10-23
CHttpWeb类 用户可以自定义发送数据包:public string HttpSendData(string URL, string Method = "GET", string Data = "",string Encode = "UTF-8") 可以自定义设置Referer、UserAgent、代理、获取cookie、带上...
asp.net知识库
06-18
从NUnit中理解.NET自定义属性的应用(转载) 如何在.NET中实现脚本引擎 (CodeDom篇) .NET的插件机制的简单实现 我对J2EE和.NET的一点理解 难分难舍的DSO(一) InternalsVisibleToAttribute,友元程序集访问属性 ...
Cookie在http请求与响应报文的位置
TIMFannie的博客
07-22 4460
看了各种介绍http报文的博客,对cookie的response设置与返回request在报文的位置有了相关基本的认识,如有不对之处希望指出错。 Cookie的设置以及在响应报文的位置 SpirngBoot在response响应返回中,开发者可通过response的addCookie方法将cookie信息转入http报文中,cookie信息位于headers的set-cookie字段。有多少个cookie信息加入就有多少个set-cookie字段。客户端接收到cookie后就将cookie存储在本地
HTTP协议中的Cookie和Session
yahid的博客
08-18 1001
CookieCookieCookie的概念。登录一个网页,用抓包工具抓一下登录请求就可以看到:Cookie的来源、存储信息、最终的去处。
CooKieb保存在哪里?
qq_41261286的博客
12-05 2155
Cookie可以配置成永久的,也可是临时的。永久的直接以文本方式放在客户机。临时的cookie仅存在于服务器交互的HTTp头部。一旦用户退出站点,包含在会话Cookie里的所有数据都会销毁 只有在Cookie设置了保存时间超过默认时间时候才会生成文本文件,否侧就如上所说,存在http头里面,不会生成文本文档 如果有cookie,在xp系统下cookie应该应该存放在C:\Documents an...
HttpCookie
12-09 1600
下面我们讲HttpCookie的用法: 什么是Cookie?: cookie是存储于访问者的计算机中的变量。每当同一台计算机通过浏览器请求某个页面时,就会发送这个cookie。你可以使用 JavaScript 来创建和取回cookie的值。 Cookie的用途: (1) 用户的会话管理: 记录用户的登录状态是cookie最常用的用途。通常web服务器会在用户登录成功后下发一个签名来标记session的有效性,这样免去了用户多次认证和登录网站;记录用户的访问状态,例如导航啊,用户的注册流程等。 (
接口测试中 Cookie、Session、Token 的区别
大田的博客
07-09 621
大家好啊,我是大田。在做接口测试时,心里不免会有一些疑惑,一会 Cookie,一会又 Session,接口有时还需要带着 Token。这三个区别是什么呢?1、存放及使用:1)Cookie 数据存放在客户的浏览器(客户端)上; Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。2)Session 数据放在服务器上;用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session,请求返回时将此 Session 的
解析 HTTP 204 No Content 状态码:一种无响应的响应
博客
08-12 4404
HTTP状态码是服务器对请求的响应结果的数字代码表示。它们帮助客户端了解请求的处理情况,包括成功、失败和重定向等。HTTP 204 No Content状态码表示服务器成功处理了请求,但没有返回任何响应内容。它是2xx成功状态码中的一种特殊情况。与其他成功状态码不同,204 No Content不返回实际的响应数据,仅表示请求已成功处理。HTTP 204 No Content 状态码是一种表示请求已成功处理,但没有返回实际的响应内容的特殊状态码。
HTTP Cookie详解
码小余の博客
08-17 3669
HTTP Cookie详解 Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。 HTTP请求+cookie的交互流程 如果步骤5携带的是过期的cookie或者是错误的cookie,那么将认
HTTP Cookie 了解
jokermelove__的博客
04-13 192
cookie 的最长有效时间,形式为符合 HTTP-date 规范的时间戳。参见Date可以获取详细信息。如果没有设置这个属性,那么表示这是一个会话期 cookie。一个会话结束于客户端被关闭时,这意味着会话期 cookie 在彼时会被移除。
http协议 cookie
最新发布
09-15
CookieHTTP协议中的一种机制,它可以让Web服务器在客户端保存一些信息,并且在后续的请求中使用这些信息来识别用户或跟踪用户的状态。通过HTTP请求头中的"Cookie"字段,浏览器会将保存的Cookie发送给Web服务器。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值