关于cookie的一些小测试

原创 2016年05月31日 10:43:58

1.关于cookie的domain属性的值有没有“.”的测试


     现有两个应用A,B, A域名www.zyr.com , B域名为abc.zyr.com。在A中添加名为name,值为zyr的cookie,并且手动设置cookie的域时(即cookie.setDomain("zyr.com");),
firefox中在显示cookie时,firefox中在显示cookie时会显示.zyr.com,即自动在前面加了个点,而默认不设置时,会显示www.zyr.com, 而相应的在chrom中只显示zyr.com,前面没有点,默认不设置时,显示www.zyr.com。
重点是:前面有没有点,对firefox,chrome,ie来说,都是同等对待,即B应用始终能接收浏览器传过来的A应用设置的cookie.
但应注意的是在RFC2109(http://www.ietf.org/rfc/rfc2109.txt):HTTP State Management Mechanism 中一条如下,
4.3.2  Rejecting Cookies
“The value for the Domain attribute contains no embedded dots or does not start with a dot. ”,即cookie的domain的值,必须是以点开始的,不以点开始的cookie,应该拒绝丢弃。
我的理解是,firefox,chrome,ie在这一点上,没有遵从标准。

2.域名的层次关系对cookie的影响.


    子孙域名应用的都能获取到父域名应用写的cookie,即现有4个应用,A应用的域名是www.zyr.com,B应用的域名是b.zyr.com,C应用的域名是c.c.zyr.com,
D应用的域名是d.d.d.zyr.com,
其中A应用添加了一个cookie,其domain属性设置为zyr.com,B应用添加了一个cookie,其domain属性设置为b.zyr.com,c应用添加了一个cookie,其domain属性设置为
c.c.zyr.com,
D应用添加了一个cookie, 其domain属性设置为d.d.d.zyr.com, 那么访问A应用时,A应用只能获取其自己写的Cookie,访问B应用时,其能获取A应用写的cookie和
其自己写的Cookie,访问C应用时,其能获取A,B应用写的cookie和 其自己写的Cookie,访问D应用时,其能获取A,B,C应用写的cookie和 其自己写的Cookie.


3.cookie不能跨域.
现有两个应用A,B, A域名www.zyr.com , B域名为www.abc.com, A域名添加的cookie,B应用获取不到,B域名添加的cookie,B应用获取不到.
即使A应用在添加cookie时,将cookie的域名属性设置为abc.com,虽然在浏览器如firefox中能看到cookie,其域名也为abc.com,,但在访问B应用时,B应用也

还是不能获取到这个Cookie .


4.maxAge属性说明.
在添加cookie时,如果不设置maxAge的值,则其默认值为-1,表示其为会话cookie,即当浏览器关闭时,cookie失效.删除cookie的方法为:添加一个同名cookie,将

maxAge属性值设置为0即可.有网友说maxAge在IE无效,但经测试,在IE也是有效的(只在IE8测试过)


5.httponly属性说明.

在可以将httponly属性值设置为ture时,应尽量设置为true,这样相对来说,安全性更高,因为能防止在js中访问


6.secure属性说明.
应用在添加cookie时,如果只想让该cookie被安全url(即以https开头的url)获取,则应将secure属性设置为true

Cookie 安全测试

15.2  Cookie 安全测试 Cookie 提供了一种在 Web 应用程序中存储用户特定信息的方法,例如存储用户的上次 访问时间等信息。但是Cookie 在带来这些编程的方便性的同时,...
  • fen0707
  • fen0707
  • 2013年01月22日 17:00
  • 2027

Cookie各属性以及安全测试方法

secure属性: 该属性高速浏览器只在请求通过如HTTPS的安全通道发送时才加入Cookie。这将有助于防止Cookie通过未加密的请求发送。如果可以通过HTTP与HTTPS同时访问应用程序,那么久...
  • HJF007008
  • HJF007008
  • 2016年11月17日 13:47
  • 1229

什么是软件测试的cookie测试

1、什么是cooike测试 Cookie是指网站用于辨别身份,进行会话(session)跟踪而存储在客户端的数据。它是有服务器产生并发送给客户端的。其用途是提供一个方便的功能以简化用户输入,节省访问页...
  • u014359948
  • u014359948
  • 2016年08月26日 11:10
  • 1387

详解cookie模块

对于通过身份验证的用户,Server会偷偷的在发往Client的数据中添加Cookie,Cookie中一般保存一个标识该Client的唯一的ID,Client在接下来对服务器的请求中,会将该ID以Co...
  • guoguo527
  • guoguo527
  • 2016年01月05日 18:59
  • 752

cookie本地测试

js中cookie的设置和删除方法大致如下:function setCookie(cookieName, cookieValue, expiredays) { var date=new Dat...
  • u012193330
  • u012193330
  • 2015年05月27日 18:19
  • 1014

关于cookie的一些小测试

1. 关于cookie的domain属性的值有没有“.”的测试 现有两个应用A,B, A域名www.zyr.com , B域名为abc.zyr.com。在A中添加名为name,值为zyr的cookie...
  • zgmzyr
  • zgmzyr
  • 2016年05月31日 10:43
  • 1236

cookie基本原理--简单测试

================设置cookie的servlet类ServeletSetCookies ====================== import java.io.IOExceptio...
  • wenzhihui_2010
  • wenzhihui_2010
  • 2013年11月11日 17:26
  • 584

关于Java编程的一些小知识

Q:   int n=Integer.parseInt("+5");          int n=Integer.parseInt("123ABC");         编译时正常,解析时就报错了,...
  • NBXX2005
  • NBXX2005
  • 2005年01月13日 23:24
  • 570

java的一些小程序例子--3

输入两个实数,按照从小到大的顺序输出这两个数 import java.util.Scanner;   public class b{  public static void main(Strin...
  • qq_24928451
  • qq_24928451
  • 2015年03月20日 18:38
  • 291

cookie的测试

cookies安全测试 1. 判断测试的web系统使用了cookie 可以找出系统的设计文档、共鞥规格说明书,或者直接问开发人员。除此还可以: (1)找出电脑存储的cookie的目录 不同的浏...
  • yy_yz
  • yy_yz
  • 2017年07月21日 20:35
  • 349
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于cookie的一些小测试
举报原因:
原因补充:

(最多只允许输入30个字)