在使用者使用某個cookie的登入某個**時,通過餅乾可以拿到安全的訪問許可權,如果餅乾被盜,那麼任何人都可以訪問**。
我們需要關注的是如何保證客戶端提交資料的保密性和伺服器獲取資訊的隨機性,即可變性。
首先,客戶端使用安全的方式儲存使用者資訊,例如chrome不允許使用者通過瀏覽器獲取cookie,是乙個辦法。
另外,客戶端提交時,使用足夠複雜的方式處理,以避免在另一台主機可以模仿當前主機的提交,也是乙個方式,可以通過提交mac位址或者在免密碼登入的時候,校驗提交主機的mac位址。
cookie的資訊儲存在本地,使用使用者名稱密碼jsessionid,每次訪問某個**就提交資訊進行驗證操作,
會話在每次開啟瀏覽器時生效,因為每次開啟瀏覽器會產生乙個會話,並儲存其id值以jsessionid的形式儲存到本地,每次重新登入瀏覽器,就重新建立乙個新的jsessionid並儲存到本地,以後在每次發出請求之後,傳送jsessionid到伺服器,伺服器在每次請求中都會驗證jsessionid。
問:如果客戶端沒有啟動的cookie,也就是說不允許本地記住密碼,在一次有效的會話中,伺服器如何驗證瀏覽器的每次請求?
答:cookie分為兩種,會話cookie和持久cookie,
會話cookie使用jsessionid來儲存使用者的資訊,每次請求只驗證jsessionid的值。
永續性cookie使用本地儲存的方式,儲存使用者的使用者名稱密碼和jsessionid,在重新開啟瀏覽器登入**時,使用使用者名稱和密碼進行驗證,產生乙個jsessionid 儲存到本地 、會話sessionid、伺服器端檔案中。
使用HttpOnly提公升Cookie安全性
在介紹httponly之前,我想跟大家聊聊cookie及xss。隨著b s的普及,我們平時上網都是依賴於http協議完成,而http是無狀態的,即同乙個會話的連續兩個請求互相不了解,他們由最新例項化的環境進行解析,除了應用本身可能已經儲存在全域性物件中的所有資訊外,該環境不儲存與會話有關的任何資訊,...
使用HttpOnly提公升Cookie安全性
隨著b s的普及,我們平時上網都是依賴於http協議完成,而http是無狀態的,即同乙個會話的連續兩個請求互相不了解,他們由最新例項化的環境進行解析,除了應用本身可能已經儲存在全域性物件中的所有資訊外,該環境不儲存與會話有關的任何資訊,http是不會為了下一次連線而維護這次連線所傳輸的資訊的。所以為...
php中如何使用cookie
php對cookie的接收和處理的支援非常好,是完全自動的,跟form變數的原則一樣,特別簡單。比如設定乙個名為 mycookier的cookie,php會自動從web伺服器接收的http頭里把它分析出來,並形成乙個與普通變數一樣的變數,名為 mycookie,這個變數的值就是cookie的值。陣列...