-
cookie
- 客户端的cookie:
- 是为了解决http无状态,就是访问界面登录,重新进入还要再次登录,过于麻烦。【http无状态的影响:现实中每个请求都是独立的,所需求的是保持会话】
- cookie是用来标记用户是谁的一个身份标记字段。cookie:key/value(name字段,value字段)
- 用户通过向服务器发送请求,服务器会返回用户一个cookie,用户将cookie保存。如果设置了过期时间,需要计算的,会放在磁盘里存储。临时cookie,会放在内存(如果清除缓存,内存里存放的就会删除)
- cookie特点:明文,可修改,大小受限(视浏览器而定)
- 用途:记录登陆状态(就是可以设置时间限制,一个cookie能用多长时间,就可以多长时间免登录),跟踪用户行为(记录浏览历史)
- Session(服务器端的)
- 为了解决客户端在一个浏览器上,存储了大量的cookie
- session保存在服务器:只给用户一个PHPSESSID
- 过程如图:
- 1,用户通过浏览器访问服务器开启会话,服务器将登录信息保存到session。
- 2,如果勾选记住密码,会写入cookie,服务器将cookie发送给客户端。
- 3,当用户发送cookie字段,服务器从session中取出信息,判断登录状态。
- 4,客户就可以继续操作,保持登录。
- XSS:脚本注入网页(Cross Site Script)
- 恶意攻击者利用web页面的漏洞,插入一些恶意代码。当用户访问页面的时候,代码就会执行,这个时候就达到了攻击的目的。
- 分为:反射型(dom),存储型
- 反射型XSS
- 攻击者在浏览器发送给服务器恶意的脚本连接,服务器返回,弹窗就算是执行了,一旦执行,攻击就算是发生了,能拿到当前的cookie,拿到cookie的脚本,就被发到黑客邮箱了,黑客就可以直接登录了。特点是每一次都要把恶意脚本再发一遍。
-
- 存储型XSS
- 将脚本放在服务器数据库中,只要访问就会返回恶意脚本,是一个持久形的XSS,所以叫存储型XSS
-
Day11
最新推荐文章于 2024-07-17 09:37:43 发布