为什么一些网站要询问您是否接受cookies,所以到底什么是cookie?token?session?CSRF呢?例子?通俗一点

于 2024-05-18 13:37:33 发布
阅读量902 收藏 21
点赞数 20
分类专栏: 扯犊子 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64106946/article/details/139024034
版权

为什么一些网站要询问您是否接受cookies

所以到底什么是cookie?token?session?

cookie

网站Cookie是你正在访问的网站发送到你正在使用的设备上的小型文档,当你按下接受的时候,这些Cookie将会储存在设备的浏览器上,随后可以从浏览器追踪和收集你的使用数据,并且将该数据回传给网站经营者。这些数据上标记有你和你的计算机专有ID,网站服务器读取ID并分析保存下来的数据确定要为你提供哪些信息与服务

为什么一些网站要询问您是否接受cookies

因为cookie可以保存:网站名称和唯一对话ID,浏览历史记录,首选项与权限,访问次数,对话持续时间,点击的链接,登录凭证(包含使用者名称和密码),地理标记(地理位置和IP地址),个人数据(如电话号码和邮政编码),购物车活动

根据《GDPR 》法案限制,cookie被视为个人信息,网站服务方要获取时应该经过授权同意

cookie实现登录基本原理

http协议本身无状态,无法确定这一次请求和下一次请求是否“同一个人”

当客户端发送一个请求到服务器,服务端会生成一个httpSession,

然后给response装一个cookie(set-cookies),这个cookie一般是{“sessionId”:xxx}

下一次客户端再发送请求时,可以把这个cookie加在request header里,服务端就可以识别该请求和上一次请求”是一个人“

缺点:

  • session存储在服务端的内存或者数据库,用户变多,压力很大
  • cookie保存在客户端,由于登录等业务要求cookie长时间存留,如果被劫持,则全部信息可能被泄露

csrf跨站伪造

比如csrf跨站伪造就是通过诱导用户访问钓鱼链接,从中获取浏览器存储的cookie,伪造用户身份

举个例子:

客户端和淘宝断开连接后,但是客户端保存着淘宝给的cookie,这个记录着客户端的信息,用于确认客户端本人,但是钓鱼网站,给客户端发链接,让它点击了该链接进入一个页面,这个钓鱼页面里面可能写了如下代码:

<img src='http://www.taobao.com/action?k1=v1&k2=v2' width=0 height=0 />

这里width=0 height=0 表示图片是不可见的。这个语句会导致客户端浏览器器向另外的服务器(淘宝)发送一个请求。

因为浏览器不管该图片url实际是否指向一张图片,只要src字段中规定了url,就会按照地址触发这个请求。(浏览器默认都是没有禁止下载图片,这是因为禁用图片后大多数web程序的可用性就会打折扣)。加载图片根本不考虑所涉及的图像所在位置(可以跨域)。如果A网站不小心提供了get接口就非常不幸得中招了

意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功

转自:https://developer.aliyun.com/article/1105790#slide-2

token

客户端登录通过后,服务器生成一堆客户端身份信息,包括用户名、用户组、有那些权限、过期时间等等。另外再对这些信息进行签名

之后把身份信息和签名作为一个整体传给客户端。这个整体就叫做token。

之后,客户端负责保存该token,而服务器不再保存。

客户端每次访问该网站都要带上这个token。服务器收到请求后,把它分割成身份信息和签名,然后验证签名,若验证成功,就直接使用身份信息(用户名、用户组、有哪些权限等等)

与cookie的比较

优点:服务端不存东西,就保管一个密钥,压力小

JWT

在这里插入图片描述

步骤翻译:

  • 1、用户登录
  • 2、服务的认证,通过后根据secret生成token
  • 3、将生成的token返回给浏览器
  • 4、用户每次请求携带token
  • 5、服务端利用公钥解读jwt签名,判断签名有效后,从Payload中获取用户信息
  • 6、处理请求,返回响应结果

转自:https://cloud.tencent.com/developer/article/2084586

jwt原理

https://en.wikipedia.org/wiki/JSON_Web_Token

主要就是Header,Payload,Signature

header:使用哪种算法来生成签名(一般是HS256)

Payload:存储一些用户信息,解码jwt后可以获取到。

Signature:根据secret(自定义),对header和payload加密运算(base64)得到一个字符串

如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

https://zhuanlan.zhihu.com/p/569770479

https://blog.csdn.net/MarcoAsensio/article/details/99223439

编程就是n踢r
关注
专栏目录
面试题:说说 CookieSessionToken、JWT?
xuxu96
12-03 578
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)互联网中的认证:用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
CSRF及SSRF漏洞
weixin_46962006的博客
12-09 1093
                       CSRF及SSRF漏洞 目录前言CSRF原理例子触发条件实操防御RefererToken使用地点SSRF简介SSRF漏洞挖掘SSRF用途SSRF简单代码漏洞利用漏洞绕过漏洞防护Cookie验证实例Session验证实例Session配置(php.ini)Session_start详解Session变量销毁Session实例Token验证实例验证登录总结 前言        个人观点,若有误请指教 CSRF 原理 CSRF(Cross-site request
浏览器Cookie详解
热门推荐
qq_41968663的博客
02-18 1万+
一、什么是 CookieCookie 是通过浏览器将服务器返回的数据保存在本地的一小块数据(一般小于4kb)。当浏览器发送请求且浏览器存在 Cookie 时,浏览器会自动在请求头携带上 Cookie 数据。引入 Cookie 的意义是因为 HTTP 的请求是无状态的,如:浏览器发出的请求服务器没办法区分浏览器用户身份以及用户的相关操作状态(可以通过 Cookie 传递这些信息)。最开始 Cookie 被作为唯一的存储手段,但是因为浏览器的每次请求都会携带上 Cookie,会带来额外的开销,而且存储量比
每個網站都要你接受 CookieCookie 是什麼?同意了又會發生什麼?
kx99949_tg的博客
02-23 441
現在大家不管開啟什麼網站,都會在最下方或是彈出視窗要求你同意接受 Cookie,大家都會很自然地按下接受,以擺脫這些通知繼續瀏覽網頁,反正看起來好像接受了也不會影響自己。請等一下!在你按下接受之前,你知道什麼是 Cookie 嗎?按下 Cookie 之後又會發生什麼事情呢?這次我們就來探討一下這個無所不在的小東西。
检测浏览器是否接受Cookies(Downmoon)?
邀月周记
10-30 2673
 一种确定浏览器是否接受 Cookie 的方法是先编写一个 Cookie,然后再尝试读取这个 Cookie。如果不能读取这个 Cookie,则可以认为该浏览器不接受 Cookie。我编写了一个简单的示例来说明如何测试 Cookie 是否接受。该示例包含两个页面。在第一个页面中,我编写了一个 Cookie,然后把浏览器重新定向到第二个页面。第二个页面尝试读取这个 Cookie,转而将浏览器
Cookie编程基础:检查浏览器是否接受Cookie
每天=生命的最后一天
11-22 1378
 Cookie编程基础:检查浏览器是否接受Cookie  提要:一种确定浏览器是否接受 Cookie 的方法是先编写一个 Cookie,然后再尝试读取这个 Cookie。如果不能读取这个Cookie,则可以认为该浏览器不接受 Cookie。   检查浏览器是否接受 Cookie  我在前面的 Cookie 的限制一节中曾经提到一个潜在问题,即用户可以设置自己的浏览器拒绝接受 Coo
判断浏览器是否接受Cookies
zgqtxwd的专栏
05-01 876
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
单页面判断浏览器是否接受 Cookies
自言自语的响马
02-01 1265
在 asp 应用中,经常用到 Session 对象来保存用户临时私有数据,而 asp 的 Session 对象是依赖于浏览器的 Cookie 的,如果用户出于安全原因或者无意中关闭了 Cookie 选项,则 asp 将无法正确识别用户,最终导致 Session 对象不能正常使用。 要正确执行以后的程序,就要先识别客户程序是否接受 Cookie,然而浏览器并没有提供识别 Cookie 是否关闭的方法
如何检测页面是否允许访问Cookie
ZTao-z的博客
07-11 1756
cookie访问状态检测
PHP面试题(含答案),持续更新
qq_41469037的博客
08-25 4692
PHP面试题(含答案),持续更新(会有重复)
PHP基于cookiesession统计网站访问量并输出显示的方法
12-18
本文实例讲述了PHP基于cookiesession统计网站访问量并输出显示的方法。分享给大家供大家参考,具体如下: <?php $f_open = fopen("count.txt","r+"); //打开指定的文件 $count = fgets($f_open); //读取文件中的数据 if(empty($_COOKIE['cookie_name'])){ //判断COOKIE是否存在 setcookie("cookie_name",value,time()+1800); //如果不存在,则创建COOKIE $count = $count + 1; //将变量$count的值加1
01 【nodejs简介】
DSelegent的博客
08-25 751
01 【nodejs简介】
2023高薪前端面试题(一、前端基础——HTTP/HTML/浏览器)
iaz999的博客
04-29 3313
语义化就是构成HTML结构的标签要有意义。比如有这样的标签:header表示页面头部main表示页面主题footer表示页面底部那么这些标签构成的HTML结构就是有意义的,也是语义化的。​ 如果说页面的头部、主体以及底部都用div来表示,那么他就不是一个语义化的HTML结构了。
cookiesession
weixin_44746090的博客
06-02 155
1 . 什么是cookie? 基于 Internet的各种服务系统应运而生,建立商业站点或者功能比较完善的个人站点,常常需要记录访问者的一些信息;论坛作为 Internet发展的产物之一,在 Internet 中发挥着越来越重要的作用,是用户获取、交流、传递信息的主要场所之一,论坛常常也需要记录访问者的一些基本信息(如身份识别号码、密码、用户在 Web 站点购物的方式或用户访问该站点的次数)。目前...
接收Cookie总结
网络安全。
01-14 3509
0x01 前言 最近总结了一下自己接收cookie的方法,和大家分享一下。来源于平时的积累和良师益友的分享。 0x02 进入正题 一:通过XSS平台接收cookie。 这个相信每个人都用过,是大家接收cookie最常用的一种方式。 1.去网上的XSS平台或者自己搭建的XSS平台新建一个项目。 2.在这里我们勾选默认模块,默认模块就是盗取cookie的,然后选择keepsession。 3.然后...
Cookie基础
我是一只蘑菇17的博客
01-05 297
什么是cookie Cookies是一种技术,它能够把你bai在访问网站时的产生的一些行为信息给读取保存下来。 最常见的便是我们在访问某些网页的的时候提示我们是否要保存用户名和密码,我们点击确定后,再次来到网站的时候,网站就能够读取到cookies,知道我们的用户信息,做出相应的...
获取cookie的简单方法(电脑端)
A_991128a的博客
03-06 4022
首先科普一下Cookie是什么百度搜索的官方解释如下:Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。简单来说就是一个辨别用户身份的信息。一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie文件的形式保存在每个用户的机器上,由于确认身份。
Response Headers 的retmsg显示????token??是为什么
最新发布
08-13
Response Headers 中的 `retmsg` 显示包含 `????token??` 可能是为了传递一些关键信息,通常用于表示请求的状态和认证。`retmsg` 字段可能是服务器返回给客户端的一个消息,其中包含了 token(可能是一个访问令牌或身份验证标记),用来确认用户的身份、授权状态或者操作结果。"????token??" 这样的结构表明它可能是一种加密或者编码过的形式,用于保护敏感数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程就是n踢r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值