3分钟简述Session和Cookie

最新推荐文章于 2023-06-29 16:08:27 发布
最新推荐文章于 2023-06-29 16:08:27 发布
阅读量231 收藏
点赞数
分类专栏: 计算机网络 文章标签: Session Cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/halotrriger/article/details/100944089
版权
  1. 说到session和就cookie就要说到一个http的问题,http的请求是无状态的。意思就是用户请求一次服务器,用户下次再请求,服务器并不知道是你,仍然把你当作新的用户。这样就会造成用户登陆后,但登陆状态并不能保存,下次仍然认为你未登录。
  2. 所以,为了能够记录用户状态,就有了Session和Cookie。拿登陆来说,用户请求服务器,它们之间建立Session(会话),服务器验证通过用户登陆信息后,会为用户创建Session对象,有唯一的SessionId保存登录状态。之后服务器会把SessionId通过Cookie返回给客户端,客户端就会在下次请求,通过Cookie把这个SessionId携带上。服务器识别出有这个SessionId后验证登陆状态,就返回给用户登陆之后的页面。用户可以进行登陆之后才有的操作。
  3. 通过上面讲述应该很容易明白Session劫持了,在用户使用不安全的网络时。而黑客正是这个网络的拥有者时,他就可以了解这个网络下所有请求内容,当然用户的Session也可以被黑客劫持,这样就会造成黑客通过这个Session拿到服务器和用户之间的Cookie,进行模拟用户登陆,造成信息泄露。

最后,如果有什么不正确的地方,欢迎指正。

立 夏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于sessioncookie的原理简述
06-06
sessioncookie原理解释以及他们的相同点和区别。
Django中cookie的基本使用方法示例
01-21
前言 基于 Internet的各种服务系统应运而生,建立商业站点或者功能比较完善的个人站点,常常需要记录访问者的一些信息;论坛作为 Internet发展的产物之一,在 Internet 中发挥着越来越重要的作用,是用户获取、交流、传递信息的主要场所之一,论坛常常也需要记录访问者的一些基本信息(如身份识别号码、密码、用户在 Web 站点购物的方式或用户访问该站点的次数)。目前公认的是,通过 CookieSession 技术来实现记录访问者的一些基本信息。 下面就来一起看看Django中cookie的基本使用,话不多说了,来一起看看详细的介绍吧。 1.简述 (1)设置Cookies re
yii操作session实例简介
12-19
本文简述了Yii框架中使用session的方法,具体步骤如下: 一、与标准php代码的区别: 在Yii框架中,你不需要像标准PHP代码那样使用session_start(), 在Yii框架中,autoStart 属性缺省被设置为true,所以, 虽然没有使用session_start(),你仍然可以使用$_SESSION全局变量,但最好使用Yii框架封装的Yii::app->session 二、session变量的使用: 设置session: Yii::app()->session['var']='value'; 使用session: echo Yii::app()->session['
HTTP Cookie 详解二
热门推荐
我的未来从这里开始
03-26 2万+
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。 HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出
网络安全小结
w450093854的专栏
11-01 626
网络安全中XSS攻击,什么是CSRF攻击,SQL注入攻击是经常会碰到的问题,特别是对于XSS和CRSF以及他们之间的区别官方解释比较难以理解,所以想通过两个简单的DEMO来加深对XSS和CRSF的理解。最后再说明下SQL注入攻击。 1.XSS攻击 xss,cross site scripting,又称跨站脚本攻击,其攻击的本质是让用户的浏览器运行一段刻意构造的脚本,其实用户的浏览器在加载页面时...
预防session劫持
后台开发
02-09 1962
session劫持是一种广泛存在的比较严重的安全威胁,在session技术中,客户端和服务端通过session的标识符来维护会话, 但这个标识符很容易就能被嗅探到,从而被其他人利用.它是中间人攻击的一种类型。 本节将通过一个实例来演示会话劫持,希望通过这个实例,能让读者更好地理解session的本质。 session劫持过程 我们写了如下的代码来展示一个count计数器: func count(w http.ResponseWriter, r *http.Request) { sess :
Session攻击(会话劫持+固定)与防御
zhangge3663的博客
10-30 1348
1、简介 Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是-不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能再程序中使用,进而保存到数据层。然而,为了维持来自同一个用户的不同请求之间的状态,客户端必须要给服务器端发送一个唯一的身份标识符(Session ID)。很显然,这和前面提到的安全原则是矛盾的,但是没有办法,ht...
跨站脚本攻击(XSS)
知之为知之,不知为不知
10-07 1458
支持页面中的第三方资源引用和 CORS 也带来了很多安全问题,其中最典型的就是 XSS 攻击。 什么是 XSS 攻击 XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。 最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了
你必须了解的Session的本质
jnucross的专栏
12-04 1660
转载于:http://www.360weboy.com/php/session-cookie/session_essence.html 有一点我们必须承认,大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最
从xss挑战之旅来重读xss(一)
Sp4rkW的博客
11-08 2416
在开始这篇文章之前,先简单聊几句: xss很多时候是鸡肋,比如说self-xss 很多厂商都会注明拒收反射xss,如58src 遇到请证明危害性的说法就走,人家的潜台词也是拒收反射xss 遇到收反射xss的,证明截图拿cookies能比alert弹个窗多很多money xss有时候也值很多钱,比如说某厂商的一个存储xss就给了3.5k 其实我们基本上都知道xss是什么,在给厂商提交漏洞的时候,...
sessioncookie的区别和联系?
07-05
sessioncookie的区别和联系?
TongDa_Scan:通达OA在线用户登录poc
03-13
进攻简述通达OA v11.7中存在某接口查询在线用户,当用户在线时会返回PHPSESSION实现可登录后台系统影响版本通达OA <v11.7进攻利用检测当前用户是否存在线...
揭秘黑客都疯抢的cookies_session_token接口鉴权机制:Python代码实现大揭秘!
m0_60054525的博客
04-07 261
在此鉴权方式下,用户在登录后,服务器会为其生成一个session_id,并将其储存在cookie中。最后,我们使用login函数获取session_id,然后调用api_call函数来调用API。API调用:用户在登录后,可以使用session_id和API token对服务端的API进行调用。在该API接口中,我们需要检查用户提交的session_id是否有效,并根据API token验证用户身份是否合法。因此,我们需要编写一个登录接口来完成用户登录操作,并返回session_id。
黑客三兄弟
码农翻身
12-26 533
建立Beauty.com的黑客三兄弟最近可谓是春风得意,他们的这个网站精准地利用了人类的本性,窃取了不少登录用户的cookie。(码农翻身注:参见前文《浏览器的安全反击战...
黑客是怎么 cookie 获取?钓鱼?键盘记录?
weixin_72959097的博客
06-29 320
修改 C:\xampp\htdocs\pkxss\xcookie 下的 cookie.php,将 IP 地址改为漏洞服务器的地址(这里注意一下因为 xss 后台是可以单独拿出来运行的后台,所以我将 pkxss 后台文件从 pikachu 文件拿出来放在 pikachu 同一目录下)当用户提交的时候,我们就能取得用户的 Cookie, 提交过后页面刷新到 pikachu 的页面这样达到我们想要要求。的后台页面,访问的时候通过 document 中的 cookie 把本地 cookie 的值带过去。
CookieSession深入研究
在此立一个IT职业上的flag:https://github.com/Zeb-D/my-review
08-04 1万+
文章来源:https://github.com/Zeb-D/my-review ,请star强力支持。 CookieSession详解 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 我们接下来从cookie、sessio...
信息安全小测试
Snow_224的博客
04-21 7622
信息安全知识小测试一、单选题答案 一、单选题 1.在mysql数据库,下列哪个库保存了mysql所有的信息? A. test B. information_schema C. performance_schema D. mysql 2.一般来说用户上网要通过因特网服务提供商,其英文缩写为: A.IDC B.ISP C.ASP D.ISO 3.在OSI七层参考模型中,工作在三层以上的网络设备是? A.集线器 B.网关 C.网桥 D.中继器 4.向有限的空间输入超长的字符串是哪—种攻击手段? A.缓冲区溢出 B
Session攻击(会话劫持+固定)与防御
weixin_30384031的博客
04-29 642
1、简介   Session对于Web应用无疑是最重要的,也是最复杂的。对于web应用程序来说,加强安全性的第一条原则就是 – 不要信任来自客户端的数据,一定要进行数据验证以及过滤,才能在程序中使用,进而保存到数据层。 然而,为了维持来自同一个用户的不同请求之间的状态, 客户端必须要给服务器端发送一个唯一的身份标识符(Session ID)。 很显然,这和前面提到的安全原则是矛盾的,但是没有办法...
node-v18.18.2-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
简述sessioncookie的概念与各自的执行流程
04-14
Sessioncookie是Web应用程序中常用的两个概念,主要用于实现跟踪用户状态和实现持久化登录。 Cookie是一小段文本信息,通过Web服务器发送给客户端(通常是浏览器),然后保存在客户端,每次请求页面时会带上这段...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值