浏览器的cookie策略

最新推荐文章于 2023-12-29 14:27:25 发布
最新推荐文章于 2023-12-29 14:27:25 发布
阅读量926 收藏 1
点赞数
分类专栏: ctf 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43952190/article/details/103323860
版权

浏览器所有的Cookie分为两种:一种是“Session Cookie”,又称“临时Cookie”;另一种是“Third-party-Cookie”,也称为“本地Cookie”;

两者的区别在于“Third-party-Cookie”是服务器在set-Cookie时指定了EXpire时间,只有到了Expire时间后Cookie才会失效,所以这种Cookie会保存在本地;而Session Cookie则没有指定的Expire时间,所以浏览器关闭后,Session Cookie就失效了。

如果浏览器从一个域页面加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。

下面一个例子,演示这一过程。

在http://www.h921.club/cookie.php中,会给浏览器写两个Cookie:一个是Session Cookie,另一个是Third-party-Cookie。

<?php
    header("Set-Cookie: cookie1=123;");
	header("Set-cookie: cookie2=456;expire=Thu, 01-Jan-2030 00:00:01 GMT;",false);
?>

访问这个页面,发现浏览器接收了两个Cookie。
在这里插入图片描述

这时再打开一个新的页面,访问同一个域中的不同页面,因为新的Tab页在同一个浏览器进程中,因此Session-Cookie会被发送。

在这里插入图片描述

此时在另一个域中,有页面http://www.b.com/csrf.html,此页面构造了CSRF来访问www.a.com。

<iframe src="http://www.a.com"></iframe>```

这时发现只能发送Session Cookie,而Third-party-Cookie被静止了。

这是因为IE出于安全考虑,默认禁止浏览器在,,

marsxu626
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 利用浏览器 Cookie 模拟登录的用户访问知乎的方法
09-19
在这个例子中,我们将探讨如何使用Python和requests库来模拟登录知乎,并通过浏览器Cookie实现这一目标。以下是一步步详细的操作步骤和相关知识点: 1. **获取Cookie**: - 首先,在火狐浏览器中登录知乎账户。 -...
Cookie的详解
Artisan_w
08-11 1457
cookie是用来维护用户信息的,而域名(domain)下所有请求都会携带cookie,但对于静态文件的请求,携带cookie信息根本没有用,此时可以通过cdn(存储静态文件的)的域名和主站的域名分开来解决。值得注意的是,从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交。2)、在设置Cookie认证的时候,需要加入两个时间,一个是“即使一直在活动,也要失效”的时间,一个是“长时间不活动的失效时间”,并在Web应用中,首先判断两个时间是否已超时,再执行其他操作。
如何保障Cookie的信息安全
最新发布
Reische的博客
12-29 987
默认情况下,Cookie 的生命周期为临时会话级,而在最新的浏览器中,SameSite 的默认值设为 Lax,已具备较高安全性。根据实际需求或请求协议,可将 Cookie 设置为 HttpOnly 或 Secure,以进一步提升安全级别。除非必要,否则不建议设置过期时间和作用域,以免无意间扩大 Cookie 的生命周期和作用范围。除非必要,否则不建议在 XHR 和 Fetch 请求中扩大 Cookie 的处理策略
Cookie的生命周期与传递策略
前端小本子
02-20 2901
1. 起源 Cookie是进行网站用户身份,实现服务端Session会话持久化的一种非常好方式。Cookie最早由Netscape公司开发,现在由 IETF 的RFC 6265标准备对其规范,已被所有主流浏览器所支持。 为什么需要Cookie? HTTP是一种无状态的协议,客户端与服务器建立连接并传输数据,数据传输完成后,连接就会关闭。再次交互数据需要建立新的连接,因此,服务器无法从连接上跟踪会话,也无法知道用户上一次做了什么。这严重阻碍了基于Web应用程序的交互,也影响用户的交互体验。如:在网络有时
浏览器Cookie策略
weixin_40270125的博客
04-27 8022
浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。 两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Co...
浏览器Cookie详解
syzdev的博客
04-01 3629
1 Cookie是什么 参考:HTTP cookies - MDN HTTP Cookie(也叫 Web Cookie浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据(一般为4KB),它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。 2 Cookie产生的背景 Cookie的诞生是为了弥补HTTP无状态的缺点,所谓无状态,
Cookie的使用————入门
weixin_47637494的博客
07-17 3332
目录: 1.介绍Cookie 2.Cookie的特点 3.关于使用Cookie的实例( 重点 ) 4.总结 一、什么是CookieCookie”是小量信息,由网络服务器发送出来以存储在网络浏览器上,从而下次这位独一无二的访客又回到该网络服务器时,可从该浏览器读回此信息。这是很有用的,让浏览器记住这位访客的特定信息,如上次访问的位置、花费的时间或用户首选项(如样式表)。Cookie 是个存储在浏览器目录的文本文件,当浏览器运行时,存储在 RAM 中。一旦你从该网站或网络服务器...
Cookie机制
coolshyman的博客
01-19 1466
Cookie机制 一、Cookie术语 Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 HTTP 协议中的 Cookie 包括 Web Cookie浏览器 Cookie,它是服务器发送到 Web 浏览器的一小块数据。服务器发送到浏览器Cookie浏览器会进行存储,并与下一个请求一起发送到服务器。通常,它用于判断两个请求是否来自于
cookieconsent:用Vanilla JS编写的简单的跨浏览器Cookie同意插件
04-29
目录 (正在进行的工作) 使用Google Analytics(分析)进行配置使用具有嵌入式完整Cookie策略的配置执照 主要特征轻量级(精简版〜10kb) 跨浏览器支持(IE8 +) 独立(无需外部依赖) 符合GDPR 支持多国语言允许您...
JavaScript Cookie:一个简单,轻巧JavaScript API,用于处理浏览器cookie-开源
04-25
一个简单,轻量级JavaScript API,用于处理Cookie,该cookie在所有浏览器中均可使用,并且可以接受任何字符。 它经过了严格的测试,没有依赖性,支持ES模块并支持AMD / CommonJS。 它符合RFC 6265,具有有用的Wiki,...
policy_cookies_getherer:网页的弹出插件可在浏览器Cookie中获取策略设置
04-13
弹出窗口-网站应用程序,用于收集有关隐私设置的Cookie 项目启动 要在本地计算机上运行该应用程序,请按照下列步骤操作: 使用以下命令安装依赖项:npm install 启动开发服务器npm run start:dev 该应用程序将...
解决java后台登录前后cookie不一致问题
08-31
1. **配置Cookie策略**:确保服务器在设置登录后的Cookie时,使用正确的域、路径、过期时间等属性,防止浏览器缓存旧的Cookie。 2. **使用Token机制**:采用JWT(JSON Web Tokens)或其他Token机制来替代Session ID...
cookie的相关知识、特点、设置方法和安全策略
q12as的博客
10-09 338
cookie 可以设置失效时间,如果不设置失效时间,默认为关闭浏览器就删除cookie值 存储数据的大小比较小,为4kb左右 与服务器端的通信,每次都会携带在HTTP头中,如果cookie保存数据过多会影响性能,而且cookie需要程序员自己来封装,原生的cookie接口不友好。 document.cookie= ' key=val; expires=有效期; 设置cookie: document.cookie="usern...
浏览器同源策略Cookie的作用域
热门推荐
大鹏
11-25 1万+
如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。 一、    浏览器同源策略 1.1   概述        1995年,同源政策由 Netscape 公司引入浏览器
同源策略以及cookie安全策略
浮白
04-18 9311
1、引言       跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误
HttpClient添加cookie策略
jilinaok的专栏
10-31 5103
问题: 10-30 16:38:05.898: W/HttpMethodBase(14634): Cookie rejected: "$Version="1"; BAIDUID="xxxx"; $Path="/"; $Domain=".baidu.com"". Domain attribute ".baidu.com" violates RFC 2109: host minus domain m
CookiePolicy 原理解析
jijianshuai的专栏
08-10 7839
CookiePolicy策略可以精确控制程序接收那些cookie,拒绝接受那些cookieCookiePolicy 策略机制解析public interface CookiePolicy { public static final CookiePolicy ACCEPT_ALL = new CookiePolicy(){ public boolean shouldAccept
Cookie详解
悟已往之不谏,知来者之可追
03-29 2692
cookie简介 1. 定义 cookie是由服务器发送给客户端(浏览器)的小量信息。 2. 作用 cookie是键值对形式存储的少量信息,那它有什么作用呢? 我们知道,平时上网时都是使用无状态的HTTP协议传输出数据,这意味着客户端与服务端在数据传送完成后就会中断连接。这时我们就需要一个一直保持会话连接的机制。在session出现前,cookie就完全充当了这种角色。也就是,c...
[MRCTF2020]Ezpop—序列化pop链
weixin_43952190的博客
05-09 6603
Ezpop 序列化Pop链 利用几个类之间相互关联进行构造 文件包含漏洞 Modifier类中append函数使用了include(),会出现文件包含漏洞。 以下是题目内容: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%
浏览器cookie能看见但读不到
07-28
1. 跨域限制:浏览器有同源策略,即只允许在同一域名下访问cookie。如果你的代码尝试从不同域名下的页面中读取cookie,就会受到浏览器的限制。 2. 安全设置:浏览器有一些安全设置,如HttpOnly属性,可以防止通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值