cookie

在Web应用中，HTTP请求是无状态的。即：用户第一次发起请求，与服务器建立连接并登录成功后，为了避免每次打开一个页面都需要登录一下，就出现了cookie，Session。 Cookie Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。Cookie存储的数据量有限，且都是保存在客户端浏览器中。不同的浏览器有不同的存储大小，但一般不超过4KB。因此使用Cookie实际上只能存储一小段的文本信息。 例如：登录网站，今输入用户名密码登录了，第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是Cookie。 Session Session是另一种记录客户状态的机制，它是在服务端保存的一个数据结构（主要存储的的SessionID和Session内容，同时也包含了很多自定义的内容如：用户基础信息、权限信息、用户机构信息、固定变量等），这个数据可以保存在集群、数据库、文件中，用于跟踪用户的状态。 客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。 用户第一次登录后，浏览器会将用户信息发送给服务器，服务器会为该用户创建一个SessionId，并在响应内容（Cookie）中将该SessionId一并返回给浏览器

01-创建Django项目 安装虚拟环境： mkvirtualenv django_demo -p python3 安装django安装包(联网安装)： pip install django==2.2 -i https://pypi.douban.com/simple 创建django工程（项目）： django-admin startproject 项目名称[目录名称] 例如： django-admin startproject django_demo 第一次创建项目以后的目录结构： django_demo/ ├── django_demo/ # 开发主应用,这里将来主要保存着项目的核心代码 │ ├── __init__.py # 项目初始化文件 │ ├── settings.py # 项目核心配置文件 │ ├── urls.py # 项目核心路由配置文件 │ └── wsgi.py # wsgi对象初始化文件 ​ └── manage.py # 命令行管理项目的工具[脚手架] 进入项目根目录，通过mange.py启动django项目。 cd ~/Desktop/django_demo/ python manage.py runserver django项目基于 MVT 思想搭建的框架.所以django会有固定的目录结构编写对应的代码. M: Model , 模型, 是一个类,

第一步：首先Spiders(爬虫)将需要发送请求的url(request)经过ScrapyEngine(引擎)交给Scheduler(调度器). 第二步：Scheduler(排序，入队)处理后，经过ScrapyEngine,DownloaderMiddlewares(可选，主要有User_Agent,Proxy代理）交给Downloader. 第三步：Downloader向互联网发送请求，斌接受下载响应（response）。将响应（response）经过ScrapyEngine,SpiderMiddlewares(可选）交给Spiders. 第四步：Spiders处理response，提取数据并将数据经过ScrapyEngine交给ItemPipeline保存（可以是本地，可以是数据库）。循环，提取url重新经过ScrapyEngine交给Scheduler进行下一个循环。知道无Url请求程序停止结束。直到无Url请求程序停止结束 项目结构以及爬虫引用简介 project_name / scrapy.cfg project_name / __init__.py items.py 　　　　　　　middlewares.py pipelines.py settings.py spiders / __init__.py 爬虫 1.py 爬虫 2.py 爬虫 3.py 文件说明

会话技术 会话： 一次会话中包含多次请求和响应 一次会话 ：浏览器第一次给服务器资源发送请求，会话建立，直到一方断开为止 功能：在一次会话范围内的多次请求间 共享数据 方式： 客户端 会话技术： Cookie 服务端 会话技术： Session Cookie 概念： 客户端 会话技术，将数据保存在客户端 1、使用： 创建Cookie ，绑定数据 new Cookie(String name, String value) 发送Cookie对象 response.addCookie(Cookie cookie) 获取Cookie ，拿到数据 Cookie[] request.getCookies() 2、实现原理 基于 响应头set-cookie和请求头cookie实现 3、cookie细节 一次可以发送多个cookie 保存时间 默认情况下，当 关闭浏览器时cookie将被清除 设置持久化存储： serMaxAge(int seconds) 正数 ：持久化存储，cookie的存活时间，秒数 负数 ：默认值 零 ：删除cookie信息 Tomcat8 之后支持中文存储 cookie共享问题 ： 默认情况下cookie 不能共享给其他web项目 setPath(String path) ：设置cookie的获取范围，默认情况下，设置当前虚拟目录 如果要共享则将path设置为/

名词解释 服务的状态 : 举例来说，服务的状态信息，通常是指在服务端保存的“用户的登陆信息”，“用户的角色信息”，“请求的状态信息”等。不用的用户及角色拥有不同的权限，从而面对同样的请求返回不同的结果。 无状态服务 ：就是同样的服务多次部署形成一个服务组，一个请求落到服务组的任意一个服务上，都会返回同样的结果。所谓无状态服务有两层含义，第一层就是真的没有状态信息，第二层就是服务组的状态不是存储在单个服务上，而是以服务组为单位集中保存。 无状态服务的意义 实现服务的负载均衡，一个好汉三个帮，一个服务承载不下的流量多个服务来承载。无状态服务是实现微服务的基础。 你真的了解session与cookies么？ 第一层楼 what is session&cookies 什么是 Cookie HTTP Cookie（也叫 Web Cookie或浏览器 Cookie）是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常，它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。 Cookie 主要用于以下三个方面： 会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息） 个性化设置（如用户自定义设置、主题等） 浏览器行为跟踪

Web之状态管理cookie和session 回顾 1、重定向和跳转 重定向:用户请求servlet，处理之后，再给浏览器重定向的一个地址，浏览器又请求重定向的地址。属于浏览器行为，浏览器至少请求两次服务器。第一次请求的数据就丢失了。 response.sendRedirect(request.getContextPath()+"/xxx"); 转发：用户请求servlet，处理之后，servlet又转发给另一个sevlet,另一个servlet执行完毕，再把结果响应给浏览器。浏览器看到的地址第一个servlet地址。数据不会丢失。 request.getRequestDispatcher("/yyyy").forward(requeset,response); 2、response的使用 ServletResponse:父接口，与协议无关 setCharacterEncoding("utf-8"); setContentType(); getOutputStream(); getWriter(); HttpServletResponse:继承 ServletResponse setStatus();设置状态码， 200成功 302临时重定向 304 服务器控制浏览器缓存，404 没有找到资源 500 服务器错误，出现异常 setHeader(name,value); 3

前言 本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。 作者：huhanghao Cookie，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密)。 比如说有些网站需要登录后才能访问某个页面，在登录之前，你想抓取某个页面内容，登陆前与登陆后是不同的，或者不允许的。另外如果你刚学不久。对这方面还不熟，建议先去小编的Python交流.裙 ：一久武其而而流一思（数字的谐音）转换下可以找到了，里面有最新Python教程项目可拿,多跟里面的人交流，比自己摸索效率更高哦！ 在python中它为我们提供了cookiejar模块，它位于http包中，用于对Cookie的支持。通过它我们能捕获cookie并在后续连接请求时重新发送，比如可以实现模拟登录功能。该模块主要的对象有CookieJar、FileCookieJar、MozillaCookieJar、LWPCookieJar。 ## cookie的获取 # -*- coding: UTF-8 -*- from urllib import request from http import cookiejar ​ if __name__ == '__main__': #声明一个CookieJar对象实例来保存cookie cookie

session对象是用来在每一个用户之间分别保存每一个用户信息的对象，以便跟踪用户的操作状态。session的信息保存在服务器端，session的id保存在客户端的cookie中。 例如我们乘坐火车就可以看做是一个session。当我们乘坐火车的时候，我们需要持有一张车票。车票就相当于是一个cookie。而车票上的座位号就相当于是sessionId。当我们需要访问列车的时候，检票员会事先检查我们是否持有cookie,如果有就根据cookie里的内容（sessionId) 来判断使用者。如果没有会再一次创建。 session原理 ：张三和李四分别请求访问页面，Tomcat服务器根据需求划分出一块内存来设置session，将此次会话信息保留在服务器端上，同时为这两个session分配sessionID，并传到客户端浏览器，交由由cookie来进行管理。当访问完之后，下次张三需要继续访问，就会将cookie的sessionID传到服务器上，进行寻找空间。如果有则继续执行，如果没有则重新创建一个session。 session超时 :所谓超时是指 session多久未被访问，就自动销毁掉。在Tomcat中默认是30分钟。如果30分钟，session未被访问，这个session就被释放掉。 URL-rewriting ：是说如果客户端浏览器禁用或是不支持cookie，将进行URL地址重写

转载网上一篇关于安全测试的文章 转载文章标题名为“ 安全测试基础（Ⅰ） 安全测试概述 ” 转载地址： https://www.cnblogs.com/rd-ddddd/p/7718206.html#4367070 一般来说，版本功能测试完成，对应的用例也实现了自动化，性能、兼容、稳定性测试也完成了以后，我们就需要考虑到系统的安全问题，特别是涉及到交易、支付、用户账户信息的模块，安全漏洞会带来极高的风险。 一．安全测试原则与常见的安全威胁： 1.安全需求： ※认证:对认证的用户的请求返回 ※访问控制：对未认证的用户的权限控制和数据保护 ※完整性：用户必须准确的收到服务器发送的信息 ※机密性：信息必须准确的传递给预期的用户 ※可靠性：失败的频率是多少？网络从失败中恢复需要多长时间？采取什么措施来应对灾难性的失败？（个人理解这个地方应该更偏向于容错容灾测试的范畴） ※不可抵赖：用户应该能证明接收到的数据来自特定的服务器 2.常见的安全测试内容 权限控制 SQL注入 URL安全测试 XSS（跨站脚本攻击） CSRF（跨站请求伪造） URL跳转漏洞 其他安全方面的考量 接下来，我们以一个C#实现的下常见的MVC架构网站为例，来分析具体的各个安全测试角度。 二.权限控制 权限控制相对来说比较简单，功能测试的过程中也接触过不少，主要就是考虑以下方面： 1.用户权限：我们假设存在两个用户A,B

首先来说说HTTP协议，我们知道HTTP协议是无状态的，意思就是说我们每一次发出的HTTP请求之间都是没有关联的，对于服务且而言，就算是同一个人在不停的发出HTTP请求访问网页，服务器也不知道是同一个人在访问。 但是在很多网页中都涉及到了登录注册的功能，用户登录后，就算请求该网站的其他页面，服务器也都会知道是你这个用户，从而返回相应的网页给你。但是前面说到了HTTP协议是无状态的，那么这是怎么实现的呢？这就是使用了cookie和session的机制。 如何要让无法识别你的服务器变得能够识别你，思考一下，貌似可以用一个标记来告诉服务器访问的是你。 下面来介绍cookie和session的机制。 cookie是客户端用来保存用户信息的机制。我们想象一下，如果我们注册一个账号之后，在服务端就会保存我们的账户和密码。我们登录了之后，如果我们将账户和密码都放在cookie中，每次访问的时候都将这个cookie携带上，那么服务器端就去寻找对应的用户，如果找到了表示该用户是登录状态的，并返回相应的页面，这样不是就实现了保持登录状态的功能了吗？ 这样在功能上是没有问题的，是可以实现的，但是存在一个很大的问题，那就是安全性！我们知道cookie是保存在客户端的，也就是我们本地的终端上，比如手机，电脑。而手机和电脑的安全性相对服务器而言是不太安全的，因为手机和电脑很有可能遗失或者中病毒等等状况