我們都知道http是一種無狀態性的協議,這種協議不要求瀏覽器在每次請求中標明他自己的身份,每次發個請求回個相應就完事了,那怎麼校驗發請求的人的身份呢,這就催生了cookies.
本質上cookies就是http的乙個擴充套件,有兩個http頭部是專門負責設定和傳送cookies的(set-cookies以及cookies)當伺服器返回給客戶端乙個http相應的時候,其中如果包含set-cookies這個頭部,就意味著讓客戶端建立cookie,並且在後續的請求中自動傳送這個cookies到伺服器,一直到這個cookie過期
1. 客戶端傳送乙個http請求到伺服器端
2. 伺服器端傳送乙個http響應到客戶端,其中包含set-cookie頭部
3. 客戶端傳送乙個http請求到伺服器端,其中包含cookie頭部
4. 伺服器端傳送乙個http響應到客戶端
最簡單的針對session的攻擊就是跨站請求偽造 ——csrf
關鍵點是如何不讓攻擊者獲取到sessionid,然後偽裝成正常訪問者,但是從理論上來說這是不能絕對實現的,我們只能通過不同的手法增加攻擊者獲取sessionid的難度
1. 驗證請求頭中的資料,比如驗證user-agent的變化
2. 增加token校驗
3. 利用get.post.cookie等不同的傳輸方式來傳遞sessionid和token等增加攻擊者獲取難度
詳細的解析: 安全性問題
更改預設密碼 大量關鍵資訊 金融的 市場的 私人的 難以置信地在 inter 上失竊,不僅因為不夠嚴密的安全體系結構,還因為不負責任地留下了資料庫和系統的預設安裝密碼。如果您不希望成為上述的一員,一定要更改 rdbms windows nt 計算機和其他資源中眾所周知的使用者預設登入密碼。檢查入口處...
前端安全性問題
csrf cross site request forgery 即跨站請求偽造是一種常見的web攻擊。攻擊原理 a 使用者開啟瀏覽器,訪問受信任 a,輸入使用者名稱和密碼請求登入 a b 在使用者資訊通過驗證之後,a產生cookie資訊並返回給瀏覽器,此時使用者登入 a成功,可以正常傳送請求到 a ...
執行緒安全性問題
相同的票數,比如5這張票被賣了多回。不存在的票,比如0票與 1票,是不存在的。這種問題,幾個視窗 執行緒 票數不同步了,這種問題稱為執行緒不安全。執行緒安全問題都是由全域性變數及靜態變數引起的。若每個執行緒中對全域性變數 靜態變數只有讀操作,而無寫操作,一般來說,這個全域性變數是執行緒安全的 若有多...