Cookie、Session、Token、csrf跨域请求伪造

Http协议是无状态的协议,客户端发起http请求,与服务器建立http连接,服务器响应,http连接断开,客户端再起发起请求,与服务器建立新的http连接。服务器无法在连接上跟踪会话。

Cookie

cookie作用流程

  1. 用户输入用户信息,点击登录,浏览器发出登录http请求
  2. 服务器校验用户身份后,响应http请求,在response中添加头部
    Set-Cookie: key=value[;expires=<time>][;path=<path>][;domain=<domain>][;<secure>]
  3. 浏览器保存response中Set-Cookie的内容到文本文件
  4. 当用户访问该网站其他接口时,浏览器会将之前保存的cookie写到请求中并发出该请求
  5. 服务器解析cookie,得到用户身份、客户端状态,可以在response中添加头部Set-Cookie修改状态,给予用户响应。

客户端的状态信息存储在客户端,服务器没有存储消耗。
浏览器对cookie的大小和数量进行了限制,无法用cookie存储大量数据。单个cookie的大小限制为4k,一般浏览器限制数量为20。
cookie具有不可跨域名性,访问google.com只会用来自google.com的cookie,访问baidu.com只会用来自baidu.com的cookie,这是通过浏览器来保证的。
使用cookie不安全,容易遭到csrf(跨域请求伪造)攻击。

CSRF跨域请求伪造
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值