web网络安全---cookie篇

最新推荐文章于 2023-06-30 16:16:11 发布
最新推荐文章于 2023-06-30 16:16:11 发布
阅读量452 收藏 1
点赞数
分类专栏: web网络安全 文章标签: cookie http java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42224683/article/details/112109385
版权

什么是Cookie

由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。

Cookie具有不可跨域名性

提问:很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?

根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。

提问:同一个一级域名(luoluo.com)下的两个二级域名如:pc.luoluo.com和h5.luoluo.com,可以交互使用同一个Cookie吗?

正常情况下,同一个一级域名下的两个二级域名也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有luoluo.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数,例如:

Cookie cookie = new Cookie("time","20080808"); // 新建Cookie
cookie.setDomain(".luoluo.com"); // 设置域名
cookie.setPath("/"); // 设置路径
cookie.setMaxAge(Integer.MAX_VALUE); // 设置有效期
response.addCookie(cookie); // 输出到客户端

注意:domain参数必须以点(".")开始。另外,name相同但domain不同的两个Cookie是两个不同的Cookie。

persistent cookies 和 session cookie 的区别

session cookie针对某一次会话而言,会话结束session cookie也就随着消失,
而persistent cookie 是存在于客户端硬盘上的一段文本(通常是加密的),而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击,所以自然不如session cookie安全。

罗罗的1024
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
浅谈cookie安全
课嗨教育的专栏
04-03 2461
0x01 简介 1. cookie简述 由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。服务端可以通过http的响应对cookie进行增加、修改和删除。而在客户端中也可以通过脚本语言如:JavaScript对其进行同样的操作。 2. cookie的组成结构 Cookie的字段一般分为: [name]
基于Cookie劫持的Deep-Web用户数据安全性分析
02-24
通过对主流社交网络和电子商务网站实施Cookie劫持攻击实验,发现虽然Deep-Web网站提供了诸如HTTPS协议等的安全保障措施,但大多数并不能抵御Cookie劫持攻击.攻击者可以仿冒合法用户行为,获取用户信息.最后,对实验结果...
Web安全——关于cookies
mapbar_front的博客
06-16 546
cookie的特性 如果要认识cookie是如何对web安全很重要,首先你要了解它是什么? cookie是一种前端的数据存储。 后端可以通过http头进行设置cookie。 请求是通过http头传输给后端。 前端可读写。document.cookie。 遵守同源策略。(协议、端口、域名都要相同)。 cookie的应用场景 cookie一般是用来做用户登录状态的验证的。 它有这么几种方...
Web安全:你必须知道的“Cookie安全”
weixin_34128501的博客
05-21 299
  初识cookie  http是无状态的请求响应。每次的请求响应之后,连接会立即断开或延时断开(保持一定的连接有效期)。断开后,下一次请求再重新建立。在http连接时,通过cookie进行会话跟踪,第一次响应时设置的Cookie在随后的每次请求中都会发送出去。Cookie还可以包括登陆认证后的身份信息。  大多数浏览器限制每个域能有50个cookies左右。存储的cookies最大值约为4kb,...
web 中的cookie
khy123khy的博客
07-17 303
文章目录web同源策略cookie安全cookie泄露CORSweb和CORS的背景http请求头http响应头 web同源策略 cookie安全 cookie用于保持http协议会话状态或缓存信息 由浏览器或服务器写入 存在于请求头或响应头,JS读取 cookie泄露 http session 没有加密,中间人可以抓到cookie 同源策略(SOP) web 同源和 cookie的同源有差异 cookie仅以domain 和 path作为同源来区分 不区分httpHTTPS path向下匹配 案例:同
web安全问题-cookie
daxiangya6845的博客
10-24 105
web安全问题 cookie 1.cookies只能设置过期 不能删除 <script> now.toGMTString() => 事件可以用来设置cookie document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx") </script> 2.Cookies-登录用户凭证 用户ID 用户ID + 签...
Web安全学习笔记-Web-Sec Documentation
01-30
文档首先从Web技术的演化、网络攻防技术的发展以及网络安全观的演变三个方面进行阐述,让读者对Web安全的历史背景和发展趋势有深入的认识。接着,它介绍了法律与法规的相关知识,强调在进行网络安全工作时的合规性。...
WEB渗透学习-XSS-labs靶场
04-20
XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个专门针对XSS的学习平台,为网络安全从业者和新手提供了...
Python-优质安全文章汇总
08-10
8. Web框架的安全特性:如Django和Flask等框架内置了多种安全机制,如CSRF保护、安全cookie设置等。理解并正确使用这些特性。 9. 代码审计:定期进行代码审计,检查潜在的安全漏洞。可以使用自动化工具如`bandit`...
ctfshow-VIP题目-Web-详细解题思路
最新发布
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
WEB安全实战(四)关于 Cookie
紫羽风的博客
10-31 3258
前言 这几天中,一直再跟漏洞打交道,而在这些漏洞中,出现的最多的就是 Cookie 和 Session 了。这文章就简单的介绍一些 Cookie 中最常用的四个属性。也算是为后续的文章做一个铺垫吧。 废话不多说,直接进入正题。 属性 Path(路径) Path 是指定与 Cookie 关联的 Web 页。它的值可以是一个目录,
Web安全之Cookie管理
brizer的博客
09-09 2115
前面我们讲到过XSS攻击,其原理就是利用脚本读取用户的Cookie从而造成用户信息泄露。这我们要介绍Cookie的几个关键属性值HttpOnly、Secure及其用法。HttpOnly该属性值的作用就是防止Cookie值被页面脚本读取。一个没有设置HttpOnly的Cookie:setcookie('name','lf');效果如下: 这段代码就可能被攻击者用脚本来获取,所以我们应该为Cooki
WEB安全(四)Cookie的使用
jinyangjie的博客
02-12 1285
1、设置 Cookie 返回给客户端 @GetMapping("/change-username") public String setCookie(HttpServletResponse response) { // 创建 cookie Cookie cookie = new Cookie("username", "jin"); //设置 cookie过期时间 cookie.setMaxAge(7 * 24 * 60 * 60); // 7天过期 //添加到 res
WEB安全 之 Cookie安全策略
MayMatrix 的博客
06-30 808
而解决的方法就是,在设置用户 id 的同时,再设置一个根据用户 id 生成的一个 token。虽然有这个方法,但是我经手的项目中却没有一个是使用这样的方法,因为这对于服务器来说面有一个性能的问题,如果用户体量很大,那服务器就需要存储大量的 id 数据,而且,用户如果同时在多个地方登录,那是不是又要再做不同的判断处理。路径的参数是 Path,这的意思是指定的某个路径这个 cookie 才能使用,这的一般直接就是设置成 \ ,当前目录下都可使用,因为只要是当前域下的,其实都可以使用。
Javaweb-Cookie
lnback的博客
09-16 135
Cookie 一.HTTP协议和Cookie CookieHTTP协议制定的,先由服务器保存Cookie到浏览器,在下次浏览器请求服务器时把上一次请求得到的Cookie归还给服务器 由服务器创建保存到客户端浏览器的一个键值对,服务器保存Cookie的响应头:Set-Cookie:aaa=AAA Set-Cookie:bbb=BBB     response.addHeader("Set-C...
Javaweb cookie
xing__meng的博客
10-15 197
概述: cookie是以键值对的形式存在的,储存在客户端的内存或者硬盘中(设置cookie过期时间的时候存放在硬盘,否者存放在内存中),由服务器发送给客户端,客户端下次访问的时候服务器的时候,服务器可以通过请求协议获取上次储存的内容 优点: 可配置到期时间,数据可以永久保存 不需要服务器资源,数据保存在客户端 简单性,是以键值对的形式存在的 缺点 大小受到限制,每个浏览器对同一个域名所包含的...
Web网站开发中,Cookie是什么?
琉忆编程库
02-18 1162
你好,是我琉忆。 今天我们讲一讲什么是Cookie,怎么理解Cookie。 在我们Web开发中,例如要想长久的存储一个用户的信息,到底需要使用什么样的一个方式进行储存?我们一起来看看。 1、Cookie对象 我们先从Cookie开始介绍,在ASP.NET开发中,提供了Cookie对象。该对象已经封装好了所有对Cookie相关的操作,底层的封装实现我们不需要关心,需要重点掌握该对象的操作和使用。 2、什么是CookieCookie的翻译解释有以下几种:曲奇; 精明强干的人; 坚强的人; 网络饼
关于cookie网络安全的一些学习
YQ的博客
11-25 843
cookie: cookie只能被放置它的网站读取,这一点是浏览器保证的,也是浏览器的一个重要安全机制。-----用靠谱的浏览器。 cookie在传输过程中和网站方都有可能被窃取。 cookie的盗用一般在你使用了不安全的网络(比如公共场所的wifi),或网站出现安全漏洞的情况下才会发生。前者发生的概率较低,而后者对网站造成的影响远比cookie被盗这点小事大很多,在互联网公司是严重的故障,
ApacheCommons-HTTPClient组件的应用.doc
05-11
该组件常用于需要直接与Web服务器交互的Java应用程序,如RIA客户端和Web服务客户端。" Apache Commons-HTTPClient 组件是Apache Jakarta Commons项目的一部分,它为开发者提供了一个高效、功能全面的工具包,用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗罗的1024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值