Day11

• cookie

• 客户端的cookie：
  • 是为了解决http无状态，就是访问界面登录，重新进入还要再次登录，过于麻烦。【http无状态的影响：现实中每个请求都是独立的，所需求的是保持会话】
  • cookie是用来标记用户是谁的一个身份标记字段。cookie：key/value（name字段，value字段）
  • 用户通过向服务器发送请求，服务器会返回用户一个cookie，用户将cookie保存。如果设置了过期时间，需要计算的，会放在磁盘里存储。临时cookie，会放在内存（如果清除缓存，内存里存放的就会删除）
  • cookie特点：明文，可修改，大小受限（视浏览器而定）
  • 用途：记录登陆状态（就是可以设置时间限制，一个cookie能用多长时间，就可以多长时间免登录），跟踪用户行为（记录浏览历史）
• Session（服务器端的）
  • 为了解决客户端在一个浏览器上，存储了大量的cookie
  • session保存在服务器：只给用户一个PHPSESSID
  • 过程如图：
  • 1，用户通过浏览器访问服务器开启会话，服务器将登录信息保存到session。
  • 2，如果勾选记住密码，会写入cookie，服务器将cookie发送给客户端。
  • 3，当用户发送cookie字段，服务器从session中取出信息，判断登录状态。
  • 4，客户就可以继续操作，保持登录。

    

• XSS：脚本注入网页（Cross Site Script）
  • 恶意攻击者利用web页面的漏洞，插入一些恶意代码。当用户访问页面的时候，代码就会执行，这个时候就达到了攻击的目的。
  • 分为：反射型（dom），存储型
  • 反射型XSS
  • 攻击者在浏览器发送给服务器恶意的脚本连接，服务器返回，弹窗就算是执行了，一旦执行，攻击就算是发生了，能拿到当前的cookie，拿到cookie的脚本，就被发到黑客邮箱了，黑客就可以直接登录了。特点是每一次都要把恶意脚本再发一遍。

  • 

  • 存储型XSS
    • 将脚本放在服务器数据库中，只要访问就会返回恶意脚本，是一个持久形的XSS，所以叫存储型XSS

  •