关于cookie的一些小测试

原创 2016年05月31日 10:43:58

1.关于cookie的domain属性的值有没有“.”的测试


     现有两个应用A,B, A域名www.zyr.com , B域名为abc.zyr.com。在A中添加名为name,值为zyr的cookie,并且手动设置cookie的域时(即cookie.setDomain("zyr.com");),
firefox中在显示cookie时,firefox中在显示cookie时会显示.zyr.com,即自动在前面加了个点,而默认不设置时,会显示www.zyr.com, 而相应的在chrom中只显示zyr.com,前面没有点,默认不设置时,显示www.zyr.com。
重点是:前面有没有点,对firefox,chrome,ie来说,都是同等对待,即B应用始终能接收浏览器传过来的A应用设置的cookie.
但应注意的是在RFC2109(http://www.ietf.org/rfc/rfc2109.txt):HTTP State Management Mechanism 中一条如下,
4.3.2  Rejecting Cookies
“The value for the Domain attribute contains no embedded dots or does not start with a dot. ”,即cookie的domain的值,必须是以点开始的,不以点开始的cookie,应该拒绝丢弃。
我的理解是,firefox,chrome,ie在这一点上,没有遵从标准。

2.域名的层次关系对cookie的影响.


    子孙域名应用的都能获取到父域名应用写的cookie,即现有4个应用,A应用的域名是www.zyr.com,B应用的域名是b.zyr.com,C应用的域名是c.c.zyr.com,
D应用的域名是d.d.d.zyr.com,
其中A应用添加了一个cookie,其domain属性设置为zyr.com,B应用添加了一个cookie,其domain属性设置为b.zyr.com,c应用添加了一个cookie,其domain属性设置为
c.c.zyr.com,
D应用添加了一个cookie, 其domain属性设置为d.d.d.zyr.com, 那么访问A应用时,A应用只能获取其自己写的Cookie,访问B应用时,其能获取A应用写的cookie和
其自己写的Cookie,访问C应用时,其能获取A,B应用写的cookie和 其自己写的Cookie,访问D应用时,其能获取A,B,C应用写的cookie和 其自己写的Cookie.


3.cookie不能跨域.
现有两个应用A,B, A域名www.zyr.com , B域名为www.abc.com, A域名添加的cookie,B应用获取不到,B域名添加的cookie,B应用获取不到.
即使A应用在添加cookie时,将cookie的域名属性设置为abc.com,虽然在浏览器如firefox中能看到cookie,其域名也为abc.com,,但在访问B应用时,B应用也

还是不能获取到这个Cookie .


4.maxAge属性说明.
在添加cookie时,如果不设置maxAge的值,则其默认值为-1,表示其为会话cookie,即当浏览器关闭时,cookie失效.删除cookie的方法为:添加一个同名cookie,将

maxAge属性值设置为0即可.有网友说maxAge在IE无效,但经测试,在IE也是有效的(只在IE8测试过)


5.httponly属性说明.

在可以将httponly属性值设置为ture时,应尽量设置为true,这样相对来说,安全性更高,因为能防止在js中访问


6.secure属性说明.
应用在添加cookie时,如果只想让该cookie被安全url(即以https开头的url)获取,则应将secure属性设置为true

Cookie 安全测试

15.2  Cookie 安全测试 Cookie 提供了一种在 Web 应用程序中存储用户特定信息的方法,例如存储用户的上次 访问时间等信息。但是Cookie 在带来这些编程的方便性的同时,...
  • fen0707
  • fen0707
  • 2013年01月22日 17:00
  • 1736

什么是软件测试的cookie测试

1、什么是cooike测试 Cookie是指网站用于辨别身份,进行会话(session)跟踪而存储在客户端的数据。它是有服务器产生并发送给客户端的。其用途是提供一个方便的功能以简化用户输入,节省访问页...

Cookie各属性以及安全测试方法

secure属性: 该属性高速浏览器只在请求通过如HTTPS的安全通道发送时才加入Cookie。这将有助于防止Cookie通过未加密的请求发送。如果可以通过HTTP与HTTPS同时访问应用程序,那么久...

web测试你需要知道的HTTP(二)--cookie与session的实现

Cookie实现机制:浏览器首次访问服务器,发送请求如果没有带身份,服务器检测不到cookie会返回一个登录窗口,输入用户名和密码后再次请求,服务器接受到表单提交上来的用户信息后验证通过,返回一个相应...
  • five3
  • five3
  • 2010年12月16日 00:39
  • 6586

Cookie跨域setDomain前面要加点儿

今天遇到了Cookie的问题,网上搜来些资料,记录一下备忘!正常的cookie只能在一个应用中共享,即一个cookie只能由创建它的应用获得。 1.可在同一应用服务器内共享方法:设置cookie.se...

web测试你需要知道的HTTP(二)--cookie与session的实现

Cookie实现机制:浏览器首次访问服务器,发送请求如果没有带身份,服务器检测不到cookie会返回一个登录窗口,输入用户名和密码后再次请求,服务器接受到表单提交上来的用户信息后验证通过,返回一个相应...
  • five3
  • five3
  • 2010年12月16日 00:39
  • 6586

Cookie安全测试

  • 2015年05月23日 13:35
  • 282KB
  • 下载

自动化测试 -- 通过Cookie跳过登录验证码

介绍了验证码的几种处理方式,最后一种就是通过Cookie跳转过验证码,但讲的不够详细。今天,就详细的介绍一下这种方式。   准备工具: ------------------ f...

自动化测试 -- 通过Cookie跳过登录验证码

准备工具: ------------------ fiddler Python+selenium ------------------ 以百度登录为例。 ...

测试之道--网络爬虫系列5(cookie处理)

什么是cookie 在爬虫的使用中,如果涉及到登录等操作经常会用到cookie,简单地说,我们访问的每一个互联网页面,都是通过http协议运行的,而http协议是一个无状态的协议:无法保存、维持会话...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于cookie的一些小测试
举报原因:
原因补充:

(最多只允许输入30个字)