不同脚本操作cookie的机制探究

最新推荐文章于 2022-12-15 12:28:58 发布
最新推荐文章于 2022-12-15 12:28:58 发布
阅读量350 收藏
点赞数
分类专栏: 软工记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShaqSaintre168/article/details/47681759
版权

一直在思考一个问题,js是运行在客户端的脚本,当然可以通过浏览器建立和读取本地cookie;但php是运行在服务器的脚本,它是如何操作cookie的呢,毕竟cookie是用户的本地文件,却被运行在服务器的代码操纵,岂不是有践迹入室,损害客户隐私的嫌疑吗?于是写了一段脚本来测试一下php操作cookie的机制。

<?php
$cookiename = "TestCookie";
$cookievalue = "Saintre's cookie test";
setcookie($cookiename,$cookievalue);

echo $TestCookie;
  echo $HTTP_COOKIE_VARS['TestCookie'];
  echo $_COOKIE['TestCookie'];
?>

       打开的页面只输出了一句“Saintre's cookie test”,只有$_COOKIE['TestCookie']的值生效了。似乎php5没有了以前版本的创建一个cookie值的同时创建一个同名变量的机制。$HTTP_COOKIE_VARS也是php4才使用的超全局变量。现在改变这个页面,测试读取客户端的cookie值“

<?php
#$cookiename = "TestCookie";
#$cookievalue = "Saintre's cookie test";
#setcookie($cookiename,$cookievalue);

echo $TestCookie;
  echo $HTTP_COOKIE_VARS['TestCookie'];
  echo $_COOKIE['TestCookie'];
?>

重启服务器,仍然能读取到该值。继而去浏览器临时文件中试着查看一下cookie,系统盘>>users>>你的用户文件夹>>AppData>>Foaming>>SogouExplorer>>Webkit>>Default,此文件夹下存放了一个Cookie文件,打开后发现部分数据被加密了,另存为txt,搜索”TestCookie“:

localhostTestCookie/    .{雔8潴     袑澾?寊 繭聴?   ??'8 K剢4*?!?         f        Ye葒葱烏飠δ伙咻鈾A*\宯    €        Kq垛鶧ㄞ俎L?)?蔐详腀釽嶥釯    =[**X谹齱-??-傋W潷;涭<凷??螥   ?撵"?喋諄補7绨餛6?悶Ax? 圗WG/"?讕刱? jpjDh鬹\KS'g悇F: 

搜狗浏览器把cookie的值加密了,但名字没有加密。

总结:php脚本通过setcookie函数创建cookie,并以一定方式把键值对传送给客户端,读取的时候则提供cookie的键名,浏览器通过审视”网址“和”键名“两个值,在本地cookie文件中查找相应的cookie值返回给服务器。当然真正使用setcookie需要详细设置cookie的各项参数,如失效时间等,这次只是做测试,一切从简。

       果然浏览器才是最危险的...

       考虑,假如服务器把用户输入的用户名和密码加密之后,通过setcookie传送的本地保存,在用户进行免登陆操作时,请求该cookie:

       

1.   服务器---------密文--------->客户端                    2.     服务器<---------密文---------客户端


        尽管是密文,但可以通过抓包,直接使用抓取的密文伪造一个一模一样的包发给服务器,岂不是也能登陆别人的账号?



       

       

        

恩典博士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS设置Cookie,及COOKIE的限制
05-19 1万+
 在Javascript脚本里,一个cookie 实际就是一个字符串属性。当你读取cookie的值时,就得到一个字符串,里面当前WEB页使用的所有cookies的名称和值。每个cookie除了 name名称和value值这两个属性以外,还有四个属性。这些属性是: expires过期时间、 path路径、 domain域、以及 secure安全。Expires – 过期时间。指定cookie的生
在linux系统中使用shell进行抓包与访问
一位学生的无用武之地
09-05 2927
curl的使用
cookie注入脚本
weixin_30760895的博客
05-10 275
1 import urllib.request 2 import urllib.parse 3 import urllib.error 4 import http.cookiejar 5 import argparse 6 7 # url='http://172.20.10.8/bug/cookie.php' 8 url = argparse.A...
session和cookie探究
qianfeng_php的博客
01-08 184
Cookie机制采用的是在客户端(浏览器)保持状态的方案,而session机制采用的是在服务器端保持状态的方案
PHP中Session和Cookie探究
01-08 61
一、Session (1)Session的由来以及介绍 Session:在计算机中,尤其是在网络应用中,称为“会话控制”,生存时间为用户在浏览某个网站时,从进入网站到关闭这个网站所经过的这段时间,也就是用户浏览这个网站所花费的时间。 由于Http是一种无状态的的协议,只负责请求服务器,当它在服务器相应之后,就与浏览器失去了联系。不能保存用户的个人信息,就像一个商场和一个自动售货机或...
java禁止js获取cookie_js/java 获取、添加、修改、删除cookie(最全)
weixin_36344231的博客
02-13 699
一、cookie介绍1.cookie的本来面目HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份。Cookie实际上是一小段的文本信息(key-value格式)。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给...
源码探究thinkphp5框架的session更新过期时间的机制
WZP_LOVE的专栏
05-06 1789
背景 最近上线了一个网站,后端api使用的框架是thinkPHP5,网站的登陆是cookie、session机制,session的存储介质是redis,设置的是30min过期。 偶尔有用户反馈还没到半小时,为啥session就过期,需要他重新登陆。 emmm,客户的表达,其实是用户从自身的时间感知层面说了一个现象。 但是问题就在于每个人在不同的精神状态下对时间的感知是有差别的,典型的例子是,人在进入心流状态后,会觉得时间过得很快。 那么,我们怎么证明thinkPHP5框架对于session的操作
Cookie 从入门到进阶:一文彻底弄懂其原理以及应用
LeviDing的博客
03-16 420
来自秦一授权的分享Cookie 是什么?Fortune cookieCookie,它的名字源自一种叫 Fortune cookie 的饼干,这种饼干里面有一张着精辟句子的小纸条。在浏览器...
php中Session的生成机制、回收机制和存储机制探究
安全汪
12-09 623
session : Session直接翻译成中文比较困难,一般都译成时域。在计算机专业术语中,Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。以及如果需要的话,可能还有一定的操作空间。 具体到Web中的Session指的就是用户在浏览某个网站时,从进入。     cookie : Cookie,有时也用其复数形式Cookies,指
在Windows下通过ssh挂载远程文件系统(网络驱动器)
ShaqSaintre168的专栏
03-23 2106
在WFH越发成为趋势的当下,通过ssh远程连接工作站可以说是计科工作者的日课。但对于大部分人来说,在进行编源代码等文件操作时,命令行还是不及图形界面方便,所以挂载远程文件系统可以极大提高生产力。本文介绍在Windows系统下通过ssh挂载远程主机(OS:Linux)的文件系统的方法。 必备工具:WinFsp和SSHFS-Win [1],win-bash [2] 【情形1:直连】本机A->远程主机B,假设本机A用户名为“local_user”,远程主机B的登陆用户名为“remote_...
MFC+WinSock程序的一般步骤
ShaqSaintre168的专栏
08-18 1974
1.在MFC创建向导中选择支持WinSock 2.不用调用WSAStatup函数 3.服务器和客户端的程序书和控制台基本相同,以客户端为例 3.1 在CServerDialog.h中声明变量sockaddr_in server_addr, client_addr; socket listen, connect; 3.2 在CServerDialog.cpp中CDialog::OnInit
安装双GPU的一些坑
ShaqSaintre168的专栏
03-04 1719
研究室服务器的硬盘老化,有时候读很卡;转换策略在本地编及调试程序。因为计划研究用单节点多GPU加速物理仿真程序,于是装了两台RTX 2080(服务器上是四台32GB版的Tesla V100,有钱就是可以为所欲为的)。本来想装两台RTX 2080 ti,然而买到了不良品(花屏)只好作罢(教授联系退货中)。 本来觉得是很简单的事,结果花了一整天,记录一下几个pitfall ...
UBUNTU 18.04下安装MPI开发环境
ShaqSaintre168的专栏
02-11 1637
安装包含编译器(如mpif90)执行器(mpirun)的MPI安装包,推荐MPICH: $ sudo apt install mpich 安装mpi的库类,其中包含mpi模块以供开发时在代码中调用(如mpi_f08.mod): $ sudo apt-get install libopenmpi-dev ...
含CPU或GPU多线程的MPI程序的性能计测方法
ShaqSaintre168的专栏
03-03 1449
并行计算程序的时候通常会遇到两种形式的并行:节点内并行和节点间并行。节点内并行是指在单一节点上的单一进程内通过CPU或/和GPU多线程来加速程序,即最一般的parallel programming;节点间并行是把多个进程分配给多个节点,称为distributed programming或许更贴切。节点内并行的实现常用OpenMP(CPU多线程)以及OpenACC、CUDA(GPU多线程...
Apache服务无法启动问题排查
ShaqSaintre168的专栏
08-14 490
Apache服务器默认监听80端口,开始我还纳闷不会有哪个进程把80端口给占了吧。于是在httpd.conf中把 Listen 80改成Listen 5150,结果仍然不行。看日志也没看出个所以然。然后上网一查,发现可以带参数启动httpd.exe来帮助排查: cmd>>httpd.exe -w -n "Apache" -k start 发现是Could not bind to addre
Conda环境下配置运行Gem5模拟器
最新发布
ShaqSaintre168的专栏
12-15 388
我在执行Step 5的时候,出现了“Fatal Python error: init_fs_encoding: failed to get the Python codec of the filesystem encoding”的错误,可能和用conda安装了多个不同版本的python有关。
Laravel框架学习-1.初探路由
ShaqSaintre168的专栏
09-01 347
Laravel的路由使用起来非常便利,在laravel5安装文件夹下,app/http/routes.php中添加。 如    Route::get('user', function () {     return "Hello World!";    }); 那么以get方法访问 http://localhost/user 时,就会调用回调函数function()。 初次使用
JAVA Cookie操作指南:设置、读取与管理
1. 设置Cookie 首先,创建一个Cookie实例,通过`Cookie cookie = new Cookie("key", "value");`来设置键值对。`setMaxAge(60)`方法用于设置Cookie的有效时间,单位为秒。若设置为负值,Cookie将在浏览器关闭后失效。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值