Web安全 学习日记2 - Web基本概念

已于 2023-04-05 20:14:51 修改
阅读量95 收藏
点赞数
分类专栏: Web安全 文章标签: 学习 web安全 服务器
于 2023-03-08 16:28:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/129405538
版权

文章目录

HTTP 无状态协议

1、定义
HTTP无状态协议,是指协议对于交互性场景没有记忆能力。
2、存在的问题
设想在一个购物网站场景中,明明只需要在/login接口中才需比对账号密码的合法性和一致性,但由于HTTP无状态的特点,服务器不知道客户端是否已登录过了,所以每次都要在会话请求中携带上一次的请求信息,如账号、密码。比如添加商品到购物车也需要再一次的进行重复且没有必要的操作,这样既降低了响应速度,又对用户不友好。
3、解决办法(为什么要使用Cookie和Session)
由于HTTP本身是一个无状态的连接协议,但为了支持客户端与服务器之间的交互,我们就需要通过不同的技术为交互存储状态,而这些不同的技术就是Cookie和Session。

Cookie

1、作用

  • 在客户端存储用户访问网站的一些信息
  • 记住密码,下次自动登录
  • 购物车功能

2、原理
当客户端第一次访问服务器时,服务器会生成一份cookie传输给客户端,客户端收到后将cookie保存起来,以后客户端再访问服务器就会自动的携带着这份cookie。
在这里插入图片描述

3、特点 / 缺点

  • 保存到客户端,容易被篡改
  • 大小受限,本身最大4kb
  • 简单易懂好用

Session

1、作用

  • 在服务端存储用户和服务器会话的一些信息
  • 判断用户是否登录
  • 购物车功能

2、原理
当客户端第一次访问服务器的时候,服务器会生成一份session保存在服务端,并将该session的id以cookie的形式传递给客户端;以后客户端的每次请求浏览器都会自动的携带该cookie(session数据的id)来访问服务器。
在这里插入图片描述

Cookie 与 Session 的共同点

都是用来跟踪浏览器用户身份的会话方式。

Cookie 与 Session 的区别

  • 存放位置不同:cookie保存在客户端;session保存在服务端
  • 安全性不同:cookie存储在浏览器中,客户端可见,容易被篡改;session存储在服务器上,对客户端透明,不存在敏感信息泄露的风险
  • 存放数据类型不同:cookie只能保管ASCII字符串,假如需求存取Unicode字符或者二进制数据,需求先进行编码;session中能够存取任何类型的数据
  • 性能不同:session会比较占用服务器性能,当访问增多时应用cookie
Ch4ser
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali远程桌面安装使用手册
wangqingliang2012的博客
10-16 3272
1. kali系统所需软件安装 1.1安装tightvncserver 安装命令:apt-get install tightvncserver 软件说明:特别轻量级,它只能新建立桌面(即可以在一台linux上打开若干个桌面供若干用户使用),不能查看TTY7/TTY1正在显示的桌面(但x11vnc可以),相比x11vnc安全传输差一些。 同类软件:x11vnc:安全传输比较好,占用资源比ti...
journal-client:这是Journal Mia的前端React Application。 发挥您的感受的日记
05-09
Journal Mia-音乐期刊 链接 [已部署的客户端]( ) [API回购]( ) [已部署的API]( ) 描述: Journal Mia是一种音乐期刊Web应用程序,它允许用户创建一个帐户并使用自己选择的内容描述进行日记条目。 用户可以添加嵌入的Apple Music歌曲来描述他们进入时的感受。 用户将能够按日期查看和反映他们的条目。 这个项目是使用React作为主要的前端框架创建的。 规划故事 在这个项目,我大部分时间都在重新学习React概念,复习以前的课程,笔记,以及使每条路线成功运作。 然后,我实现了音乐库功能,希望该库能够使您登录到Apple音乐并在Show App页面播放您选择的嵌入歌曲。 这是最困难和最具挑战性的功能。 成功获取音乐库来播放音乐后,便对应用程序进行了样式设置。 准备 分叉并克隆此存储库。 为您的工作创建一个新分支, example 。
Kali渗透测试:使用Metasploit对Web应用的攻击
Liu_Bruce的博客
05-15 3406
Kali渗透测试:使用Metasploit对Web应用的攻击 Web应用程序的漏洞数量众多,这里我们以其一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下: <html> <body> <form name="ping" action="#" method="post"> &
如何开启kali的ssh远程连接
diaobusi的博客
06-04 9941
kali 是一款非常强大的渗透测试Linux操作系统,它是由BackTrack发展而来,整合了IWHAX、WHOPPIX和Auditor三种渗透测试专用Linux后,正式改名为Kali Linux。我是在我的windows主机上开启Kali虚拟机,自己使用MacBook进行操作,有远程连接的需求,所以就想办法来开启 Kali的ssh服务来进行远程操作,希望该文章对大家有帮助。
kali-简单渗透笔记
weixin_30750335的博客
01-12 2560
端口扫描 nmap -sS 目标ipArp 内网断网Arpspoof -i 网卡 -t 目标ip 网关获取网卡/网关ifconfig获取内网ipfping -asg 192.168.1.0/24Arp 欺骗echo 写命令,是不会有回显的ehco 1 >proc/sys/net/ipv4/ip_forward# 进行IP流量转发目标 --》 我的网卡 --》网关driftnet --&gt...
Kali Linux 实现Cookie会话劫持
bomb324的博客
09-05 1565
一.环境搭建 Tips: 使用Kali Linux,下列工具只需要下载ferret即可,其它工具均默认安装 1.下载arpspoof apt install dsniff 2.下载ferret 软件介绍: 网络数据包传递用户的各种操作和对应的信息。但是由于各种数据混在一起,不利于渗透测试人员分析。Kali Linux提供了一款信息搜集工具ferret-sidejack。该工具既可以从网络接口直接读取数据,也可以读取数据抓包文件。该工具会过滤掉大部分格式性数据,只保留更为有价值的数据,如IP地址、Mac
metasploit的session操作
热门推荐
天元喜羊羊的博客
04-25 1万+
msf > sessions -l Active sessions =============== Id Type Information Connection -- ---- ----------- -
kali下arp欺骗session会话劫持
赵一舟的博客
02-08 4208
基于arp欺骗的session劫持 开启ettercap arp监听后 开启打开一个终端,输入driftnet -i wlan0 测试下arp欺骗正常没 TcpDump可以将网络传送的数据包完全截获下来提供分析 捕获数据包命令,重新开启命令行 tcpdump -i wlan0 -w text1.cap 让受害者打开个邮箱或者微博等,登陆成功后停止tcpdump,然后在
mirrorsedgearchive:Mirror's Edge存档的Web代码库
05-10
该档案库包含高品质的照片和壁纸,概念艺术,视频(如游戏玩法预览,预告片和开发人员日记),音频(如SFX和音乐),开发人员演示文稿和粉丝制作的地图以及其他资源。 由于法律限制,存档(可从访问)和EA DICE的...
inscribe:面向代码学院的第三次里程碑提交,全栈Web开发课程
04-05
由于我好奇的性格想了解自己和周围人的行为,因此日记成为日常生活的基本要素,包括各种成瘾习惯的正念技巧。 与其他各种正念或可用的日记记录平台类似,(in)Scribe的设计核心是一个简单易用的界面,可供所有人...
learn-python
03-18
学习日记本:完整的Python大师班:从头开始学习Python 链接下载:注册OneDrive并下载课程 描述 了解最新版本的Python,即Python 3 了解和学习每个Python概念。 了解如何使用Selenium自动化社交媒体帖子 使用Python...
YourThink:他人的思想日记
05-07
发行页面资料夹结构网路应用程式:./ web / * 服务器:./ server_socket / *进步我有点忙,因为我正在找工作。 *ㅡ_-无论如何,我很忙。 因此,有时服务器会关闭一段时间。 如果“您的想法”没有帖子,则服务器...
[BT]小迪安全2023学习笔记(第27天:Web攻防-SQL数据类型注入)
Bluetuan的博客
05-23 225
在SQL,数字可以不需要单引号,但是字符串需要单引号闭合(不然识别不了)
qmt量化交易策略小白学习笔记第10期【qmt编程之获取股票订单流数据--内置Python】
fanglue3705的博客
05-23 341
获取股票订单流数据 获取股票在某个价位的订单数量 提示 1.该数据通过get_market_data和get_market_data_ex接口获取,period参数选择orderflow1m或者orderflow1d 2.获取历史数据前需要先用download_history_data下载历史数据,订单流数据仅提供orderflow1m周期数据下载,其他周期的订单流数据都是通过1m周期合成的 3.订单流版 权限数据 #内置python 原型 python
学习其他推理判断
最新发布
小琳猫的博客
05-23 1071
学习其他推理判断
学习笔记】后端(Ⅰ)—— NodeJS(Ⅱ)
Eddie_hyh的博客
05-21 570
NodeJS(Ⅱ)
DOS学习-目录与文件应用操作经典案例-comp
anananajiushiwo的博客
05-23 989
DOS系统的COMP是一个命令行工具,其主要功能是逐字节地比较两个文件或几组文件的内容。以下是关于COMP功能COMP命令用于比较两个文件的内容是否完全相同。它会逐个字节地对比文件,从而找出任何差异。使用方式:用户可以在DOS命令提示符下输入COMP命令,然后指定要比较的两个文件。如果在没有参数的情况下使用,COMP会提示用户输入要比较的文件。比较范围COMP可以比较相同驱动器或不同驱动器上的文件,以及相同目录或不同目录的文件。这为用户提供了很大的灵活性,使其能够根据需要比较各种位置的文件。
【PHP小课堂】学习了解PHPMemcached扩展的使用
硬核项目经理
05-20 926
学习了解PHPMemcached扩展的使用说实话,在目前的开发环境,使用 Memcache 的项目还真的不多。在 Redis 大行其道的今天,Memcache 的衰退也可以说是大势所趋。不过,可能很多刚开始学习 PHP 的新同学不知道,当年在 LAMP 时代,除了这四个字母所代表的这些服务端软件之外,缓存上最出名的就是这个 Memcache ,它和 PHP 搭配的历史也非常的长。因此,今天我们...
简述web安全基本概念
05-31
以下是Web安全基本概念: 1. 身份验证:验证用户身份,确定用户是否有权限访问特定的资源。 2. 授权:授权用户访问特定的资源,根据用户的身份和权限控制资源的访问。 3. 机密性:保护数据的机密性,防止数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值