实验介绍
1. 验证码前端可获取
(1)验证码隐藏在源码之中 验证这种情况很简单,我们只需要记住验证码,然后右键打开网站源代码,CtrI+F搜索,输入刚才的验证码,如果可以成功匹配到
(2)验证码隐藏在Cookie中 一般来说,我们会把验证码的值用Session存储起来,通过对比用户提交的验证码和Session中的验证码,就可以知道输入是否正确。由于Session会占用服务器资源,有的开发人员会把验证码的值加密后存储在Cookie中。
(3)仅在客户端生成验证码 有的网站验证码由本地js生成仅仅在本地用js验证。
验证过程
客户端request登陆页面,后台生成验证码:
后台使用算法生成图片,并将图片response给客户端2.同时将算法生成的值全局赋值存到SESSION中
校验验证码:
客户端将认证信息和验证码─同提交
后台对提交的验证码与SESSION里面的进行比较
客户端重新刷新页面,再次生成新的验证码:
验证码算法中—般包含随机函数,所以每次刷新都会改变
验证码会过期