淘宝网站是谁做的,印尼请人做网站,办公资源网,无锡做网站公司1.Cookie是什么? 2.窃取的原理是什么? 3.系统如何防Cookie劫持呢? 看完这三个回答#xff0c;你就明白哪位传奇大侠是如何成功的!!! Cookie: HTTP天然是无状态的协议#xff0c;为了维持和跟踪用户的状态#xff0c;引入了Cookie和Session。Cookie包含了浏览器客户端的用… 1.Cookie是什么? 2.窃取的原理是什么? 3.系统如何防Cookie劫持呢? 看完这三个回答你就明白哪位传奇大侠是如何成功的!!! Cookie: HTTP天然是无状态的协议为了维持和跟踪用户的状态引入了Cookie和Session。Cookie包含了浏览器客户端的用户凭证相对较小。Session则维护在服务器用于维护相对较大的用户信息。 用通俗的语言Cookie是钥匙Session是锁芯。 Cookie简单理解就是钥匙每次去服务端获取资源需要带着这把钥匙只有自己的锁芯(资源)才能打开。 如果你丢掉了钥匙那没办法只能配一把钥匙和锁芯。 但是如果钥匙被别人拿了那别人就可以冒充你的身份去打开你的锁芯从而获取你的信息甚至挪用你的资金。这是非常危险的。 XSS攻击: XSS(CrossSiteScripting)是跨站点脚本攻击的缩写。其就是利用站点开放的文本编辑并发布的功能从而造成攻击。 其实说的简单一点就是输入javascript脚本窃取并投递cookie信息到自己的站点。 比如攻击者以一个普通用户登录进来然后在输入框中提交以下数据 快看这里有美女在洗澡 攻击者提交了条带标签的数据该条数据保存于服务器端而管理员登入时不小心点击这个链接时则会把自身的cookie信息投递给hacker设定的网址 http://attacker-site.com/xss_collect/mxxxxxxyyyyyzzz 有了该session-id攻击者在会话有效期内即可获得管理员的权限并且由于攻击数据已添加入数据库只要攻击数据未被删除那么攻击还有可能生效是持久性的。 Cookie劫持的防: 基于XSS攻击窃取Cookie信息并冒充他人身份。 服务端如何防呢? 第一种办法是: 给Cookie添加HttpOnly属性这种属性设置后只能在http请求中传递在脚本中document。cookie无法获取到该Cookie值。对XSS的攻击有一定的防御值。但是对网络拦截还是泄露了。 第二种办法: 在cookie中添加校验信息这个校验信息和当前用户外置环境有些关系比如ipuseragent等有关。这样当cookie被人劫持了并冒用但是在服务器端校验的时候发现校验值发生了变化因此要求重新登录这样也是种很好的思路去规避cookie劫持。 第三种办法: cookie中sessionid的定时更换让sessionid按一定频率变换同时对用户而言该操作是透明的这样保证了服务体验的一致性。 作者佚名 来源51CTO
