web安全day48:session和cookie、同源策略的初步理解

最新推荐文章于 2023-05-31 16:40:56 发布
最新推荐文章于 2023-05-31 16:40:56 发布
阅读量1.5k 收藏
点赞数
分类专栏: web安全 文章标签: safari chrome 前端 web安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122548890
版权

请求头

HOST:用于指定被请求资源的Internet主机和端口号

user-agent:浏览器指纹

referer:当前页面的上一个页面,如果是直接访问,则此项为空

下面是一个get页面

GET /post.html HTTP/1.1
Host: 192.168.1.3
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

下面是一个post页面

POST /welcome.php HTTP/1.1
Host: 192.168.1.3
Content-Length: 16
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.1.3
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Accept: tex
最低0.47元/天 解锁文章
信封同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
Cookie同源策略
Nanki_的博客
01-19 686
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
Web - JSONP和同源策略漫谈
weixin_34413802的博客
09-29 100
0x00 前言关于JSONP网上有很多文章了,我也是在拜读了别人的文章的基础上来写写自己的看法,这样可以加深自己印象,巩固一下学习效果。我们需要做的就是站在巨人的肩膀上眺望远方。0x01 起在Web前端开发中有一种安全机制,Javascript脚本只能访问与它同域的内容,这就是同源策略。 这里就需要先说明一个问题:如果确定脚本的域?html页面中试用脚本有两种方式:内联和引用。 上图中滑红框部分,...
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 358
三、跨域的处理方式(3种)
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2651
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
day16_cookie&session源代码.zip
11-03
在IT行业中,尤其是在Web开发领域,CookieSession是两种非常重要的技术,用于管理用户状态和保持会话。这里我们深入探讨这两个概念以及它们在Java Web中的应用。 首先,Cookie是客户端存储的小型文本文件,由...
day16_cookie&session.rar
03-15
Web开发中,CookieSession是两种非常重要的技术,用于管理用户会话状态。它们都是用来跟踪用户身份和保持用户信息的方式,但有着不同的工作原理和应用场景。在本教程“day16_cookie&session”中,我们将深入探讨...
Day02:Cookie怪兽第二天
03-21
"Day02:Cookie怪兽第二天"可能是指一系列关于理解、管理和利用Cookie的教程或学习计划的第二天内容。虽然没有具体的标签和详细描述,我们可以从Cookie的基础概念、工作原理、应用场景以及安全考虑等方面来深入探讨这...
浏览器同源策略Cookie的作用域
weixin_33895695的博客
09-28 82
所谓"同源"指的是"三个相同": 1.协议相同 2.域名相同 3.端口相同 当着三个地方相同才算同源 例如:http://www.example.com:8888/dir/page.html 协议是http:// 域名是www.example.com 端口是8888 采用同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去...
同源策略介绍
weixin_44174581的博客
08-11 1772
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
理解同源理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 997
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
AJAX异步交互 同源策略跨域 Cookie
amuist_ting的博客
09-08 242
核心 XMLHttpRequest XMLhttpRequest对象用于与服务器交互 通过XMLHttpRequest可以在不刷新页面的情况下请求特定URL,获取数据;这允许网页在不影响用户操作的情况下,更新页面的局部内容 let xhr = new XMLHttpRequest(); --xhr.open(method, url, flag) method 请求方式 url 请求地址 --xhr.onreadystatechange 当readyState属性发生变化时触发 xhr.onr
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3285
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
Web安全2.3:CSP安全策略、CookieSession同源策略、HTML DOM树
LIHAO的博客
04-19 2506
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、SessionWeb安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
同源策略及规避
abcde1872531的博客
04-12 118
协议相同 域名相同 端口相同(http默认80端口) 即检查是否同源,只有和百度同源的脚本才会被执行。[1] 如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。 Cookie 设置cookie时是可以指定域名的。在 a.testdomain.com/testpage.html 页面中设置域名为 testdomain.co...
同源策略+跨域整理
nvnv_yezi的博客
07-25 360
参考1 同源策略 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。 协议相同 域名相同 端口相同 URL 说明 是否允许通信 http://www.a.com/a.js     http://www.a.com/b.js 同一域名下 允许 ht...
同源策略与跨域资源共享
AvaBlingBling的博客
09-23 1784
1.同源策略同源策略,就是限制JS只能访问与所在页面同一个域(相同协议、域名、端口)的内容。浏览器的整个安全体系均建立在此之上。支持同源策略的浏览器其实并不会阻止跨域请求的发送和响应的接收,它仅仅是阻止程序不能访问返回的数据而已。同源策略限制:1.无法读取非同源网页的cookie,localstorage,IndexDB;2.无法接触非同源网页的dom;3.无法获取非同源网页的请求(可以接受,浏览...
Web安全策略之CSRF防御
Spontaneous_0的博客
01-15 203
Web安全策略之CSRF防御
渗透测试行业 网络安全 黑客术语
最新发布
03-02
本文主要介绍了渗透测试行业和网络安全领域中的一些关键术语,涵盖了黑客常用的工具和技术,包括肉鸡、木马、0day漏洞、后门、网络钓鱼、社会工程学、弱口令、shell、加壳、嗅探等多个方面。 1. 肉鸡:在黑客术语中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值