使用 cookie的一些缺陷和隐患
在细谈此问题之前,我们不妨先来看看什么是coolie?它的用途又是什么?coolie是指某些网站为了辨别用户身份而储存在用户本地终端的的数据。cookie是一种小型文本文件。
cookie的作用是绕开HTTP的无状态性,帮助session进行对用户的追踪。举两个十分典型的例子
1 - 在我们进行网络购物时,浏览了几个网页买了一袋曲奇,两瓶饮料。当用户选购了第一项商品,服务器在向用户发送网页的同时,还发送了一段Cookie,记录着那项商品的信息。当用户访问另一个页面,浏览器会把Cookie发送给服务器,于是服务器知道他之前选购了什么。用户继续选购饮料,服务器就在原来那段Cookie里追加新的商品信息。结帐时,服务器读取发送来的Cookie就行了。服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。
2- Cookie另一个典型的应用是当登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的Cookie到用户的硬盘上。第二次登录时,如果该Cookie尚未到期,浏览器会发送该Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。
基于以上两个例子,就可以相对具体的来看了解cookie的缺陷了
- 在购物场景中,由于cookie在HTTP请求中是明文传输的,安全性很成问题。一个cookie中包含了应付款项,攻击者可以通过在cookie传回到服务器之前将付款值改小的操作来达到非法目的。想当初网络上流传的刷QQ的增值业务火爆,100块钱几万扣币,看着就很诱人,对于做做这种非法的事情的人,遇到后我们要举报他们。
- 在第二例子中储存于本地的密码可以被钓鱼网站的服务器暴力获取。像我们的QQ·号码被盗,很多时候就是因为浏览了这样的网站导致我们的账号被盗。
- 一些公司的高层人员为了某种目的(譬如市场调研)而访问了从未去过的网站(通过搜索引擎查到的),而这些网站包含了一种叫做网页臭虫的图片,该图片透明,且只有一个像素大小(以便隐藏),它们的作用是将所有访问过此页面的计算机写入Cookie。而后,电子商务网站将读取这些Cookie信息,并寻找写入这些Cookie的网站,随即发送包含了针对这个网站的相关产品广告的垃圾邮件给这些高级人员。
- Cookie会被附加在每个HTTP请求中,所以无形中增加了流量
- Cookie的大小限制在4KB左右,对于复杂的存储需求来说是不够用的。
使用 cookie的一些缺陷和隐患相关推荐
- 静态自动检查代码缺陷与隐患
代码缺陷和代码错误的最大区别是,代码缺陷不影响游戏编译,而代码错误编译都不通过.但是代码缺陷会影响游戏发布后产生的一系列BUG..我今天无意间逛外国论坛发现的一个方法,使用了一下感觉挺给力的第一时间分 ...
- 使用Cookie记录信息
5.1 Cookie的概念和特性 Cookie是设计交互式网页的一项重要技术,它可以将一些简短的数据存储在用户的计算机上,这些存放在用户计算机上的变量数据,称为Cookie.当浏览器向服务器提出网 ...
- 弥补Web开发缺陷 实战HTML 5中存储API
COOKIES的限制和缺陷 首先,让我们来回顾下cookies.Cookies的出现可谓大大推动了Web的发展,但它既有优点也有一定的缺陷.Cookies的优点在于,它可以允许我们在登陆网站时,记住我 ...
- 弥补Web开发缺陷实战 HTML5 中存储API
COOKIES的限制和缺陷 首先,让我们来回顾下 cookies.Cookies 的出现可谓大大推动了Web的发展,但它既有优点也有一定的缺陷.Cookies 的优点在于,它可以允许我们在登陆网站时, ...
- 什么是cookie?
什么是cookie? Cookie 定义 "Cookie"是小量信息,由网络服务器发送出来以存储在网络浏览器上,从而下次这位独一无二的访客又回到该网络服务器时,可从该浏览器读回此信 ...
- COOKIE安全与防护
目 录 摘要 关键词 一. 引言 二. COOKIE概述 三. COOKIE安全分析 四. COOKIE惯性思维 五. COOKIE防护 六. 总结 七. 参考文献: 15 摘 ...
- 爆破专栏丨Spring Security系列教程之实现CAS单点登录上篇-概述
作者:千锋一一哥 前言 从本章节开始,一一哥 会给各位讲解一个很常见也很重要的知识点,就是单点登录!现在的大型分布式项目,基本都会考虑实现单点登录,而且现在网上也有很多单点登录的实现方案.开源项目,但 ...
- 万字HTTP学习笔记
*个人学习笔记,如有侵权,请立刻联系删除 计划做得多不如极客上路 老师背景: 罗剑锋(Chrono) 前奇虎360技术专家,Nginx/OpenResty开源项目贡献者 "To Be a H ...
- 【这可能不只是一篇面经】- 有话想说的四个月
原文链接:http://www.jianshu.com/p/a6ad23aee955?from=timeline&isappinstalled=0 写了个显眼的标题,就真得说几句有用的话. 5 ...
- 面试前必读【面经+(BAT面试题)】
转载自[奥特曼超人]的博客: http://blog.csdn.net/djy1992/article/details/76087532 0. 写在之前 首先呢我的面试经历和一些面霸和收割机的大神相比 ...
最新文章
- fir.im Weekly - iOS 保持界面流畅的技巧
- sqlserver如何通过管理器设置字段的自增
- python自动化框架pytest接口关联串联_基于python接口自动化框架搭建_pytest+jenkins+allure...
- 谈谈eclipse使用技巧一
- 搭建 | 一步成功搭建Centos + Kubernetes 环境
- 维纳滤波(Wiener Filter)
- 22年全国数学建模比赛ABC题思路模型
- AES解码:BadPaddingException: pad block corrupted异常
- 【测试开发】一文带你了解什么是软件测试
- Java jdt 编辑_java – 如何使用JDT以编程方式重命名方法
- Windows无法安装到GPT格式磁盘的根本解决办法 - 初学者系列 - 学习者系列文章...
- [19保研]清华大学交叉信息研究院优秀大学生夏令营
- 亚马逊又为卖家解锁新功能,最高提升10%转化的它不可忽略!
- 区块链创业者惠轶之死
- MySQL事务特性及实现原理
- XStream使用方法
- jquery中的event
- android ARouter源码分析
- 吃了核辐射食物怎么办_受核辐射的食物还能吃吗
- 云服务器安装MySQL数据库 ubuntu20