cookie

javaEE 期末复习重点 第一章JavaEE 概述： 1：两层体系应用体系结构 安全性低，部署困难，消耗系统资源 2 三层体系结构应用 安全性高 ；易维护，快速响应 ；系统扩展灵活 JavaEE是一个标准的中间件体系结构 客户层， 表示逻辑层（WEB） 业务逻辑层和企业信息系统层 javaEE的编程思想：组件——容器 ，分布式组件：JSP ，servlet ，EJB JAVAEE框架：组件技术 服务技术 ，通信技术 第三章： Servelt Servlet :是一种独立于操作系统平台和网络传输协议的服务器端的java应用程序，它用来扩展服务器的功能，可以生成动态的Web页面。 Applet运行在客户端，具有丰富的图形界面 Servlet运行在服务器端，没有图形界面 Servelt的工作流程 1 客户端将请求发送到服务器 2服务器上的Web容器实例化 3 Web将请求响应返回到客户端。4 servlet创建一个响应，并将其返回到Web容器。Servlet 可以使用客户端和服务端的资源来响应 5 Web把响应来返回到客户端 6 服务器关闭Servlet Servlet 的编程接口 servletConfig配置信息 ServletContext运行环境信息 HttpServletRequest请求 HttpServletResponse 响应 Httpsession 会话管理

要掌握跨域，首先要知道为什么会有跨域这个问题出现 同源策略 ：协议、域名、端口都相同，是一种安全策略，不同源的客户端脚本在没有明确授权的情况下，不能读取对方资源。 同源策略的目的： 保证用户的信息安全，防止恶意的网站盗取数据。如果缺少了同源策略，浏览器很容易受到xss、csrf的攻击。 设置同源策略的主要目的是为了安全，如果没有同源策略，在浏览器中的cookie等其他数据可以任意读取，不同域下的DOM任意操作，ajax任意请求其他网站的隐私数据。 设想这样一个场景:一个恶意网站的页面通过iframe嵌入了银行的登陆页面（两者不同源）如果没有同源策略的限制，恶意网站上的js脚本就可以在用户登录银行的时候获取用户名和密码。 （1）做一个假网站，里面用iframe嵌套一个银行网站 http://mybank.com。 （2）把iframe宽高啥的调整到页面全部，这样用户进来除了域名，别的部分和银行的网站没有任何差别。 （3）这时如果用户输入账号密码，我们的主网站可以跨域访问到http://mybank.com的dom节点，就可以拿到用户的输入了，那么就完成了一次攻击。 跨域问题是由于浏览器为了防止CSRF攻击，避免恶意攻击带来的风险而采取的同源策略限制。CSRF攻击就是利用用户的登录状态发起已请求，但是跨域不能完全阻止CSRF，因为跨域是请求发出去了，但是被浏览器拦截了响应。

大家都知道 通过历史记录 可以清除cookie，但是选项很有限。 是一定是时间范围内的cookie，如果我想要清楚某个网站，例如，淘宝网站的cookie怎么办? 设置 --》高级 --》网站设置 --》 cookie和网站数据 --》查看所有cookie和网站数据 --》　搜索cookie即可。 或者一步到位，直接地址栏输入： chrome://settings/siteData 来源： CSDN 作者： chushiyunen 链接： https://blog.csdn.net/enthan809882/article/details/103456542

一 . 单点登录简介 在企业级软件发展初期，企业系统往往很少，只有一到两个，每个系统都有其登录界面。可随着时代发展，用到的系统也越来越多，系统使用者在操作不同的系统时需要多次登录，且不同的账号密码让人十分难受。 于是单点登录(SSO)诞生了，他解决的问题是:可以只登录一个系统，就可以访问其他互相信任的应用系统。 如上图,只有SSO有登录模块，A1,A2,A3都没有登录模块，而当A1,A2,A3需要登录的时候则直接跳转到SSO进行登录，登录成功后则A1,A2,A3都可访问。 二 .技术实现 2.1 普通的登录验证机制 一般情况下，我们在浏览器(Browser)访问一个应用，都会在浏览器先输入用户名和密码，完成登录验证后，服务器的Session状态变成YES(已登录)，同时在浏览器留下该用户的唯一标识(Cookie)。以后再次访问该应用都会携带Cookie，服务器端根据该Cookie找到Session,通过session来判断这个用户是否登录。如果不做特殊配置，这个Cookie的名字叫做jsessionid，值在服务端（server）是唯一的。 2.2 同域下的单点登录 一个企业一般情况下只有一个域名，通过二级域名区分不同的系统。比如我们有个域名叫做：a.com，同时有两个业务系统分别为：app1.a.com和app2.a.com。我们要做单点登录（SSO），需要一个登录系统，叫做

原文地址： https://segmentfault.com/a/1190000012469713 什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 广义的跨域： 1.) 资源跳转： A链接、重定向、表单提交 2.) 资源嵌入： <link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http://www.domain.com/a.js http://www.domain.com

三：JSP内置对象的常用方法 （1）request请求对象 request对象属于 Javax. ervlet ServletRequest接口的实例化对象。 【作用】 request对象不但可以用来设置和取得 request范围变量,还可以用来获得客户端请求参数、请求的来源、表头、 cookies等。 【机制】当用户请求一个JSP页面时,JSP页面所在的 Tomcat服务器将用户的请求封装在内置对象 request中。 request内置对象代表了客户端的请求信息,主要用于接收客户端通过HTTP协议传送给服务器端的数据。在客户端的请求中如果有参数,则该对象就有参数列表 。 2）response响应对象 response对象属于Javax.servlethttpHttpservletrEsponse接口的实例化对象 【作用】 response对象用来给客户端传送输出信息、设置标头等。 【机制】 response对象的生命周期由JSP容器自动控制。当服务器向客户端传送数据JSP容器就会创建 response对象,并将请求信息包装到 response对象中。它封装了JSP性的响应,然后被发送到客户端以响应客户的请求,当JSP容器处理完请求后, response 对象就会被销毁。 1）页面跳转的多种方式： 2）response.sendRedirect(“地址”)实现页面跳转

1. 摘要 （ 注意：请仔细看下摘要，留心此文是否是您的菜，若浪费宝贵时间，深感歉意！！！） SSO这一概念由来已久，网络上对应不同场景的成熟SSO解决方案比比皆是，从简单到复杂，各式各样应有尽有！开源的有OpenSSO、CAS ，微软的AD SSO，及基于kerberos 的SSO等等……这些优秀的解决方案尽显开发及使用者的逼格，当然需求所致无谓好坏高低，满足实际之需才是王道！ 本文并不讨论上述提到的方案的整合使用、或者复杂场景如：安全、防火墙、N 多个系统层叠调用这种"巨型项目"里SSO的实现与使用，也并不涉及 C/S 、C/S+B/S 的SSO解决方案，仅关注B/S 上的SSO实现。虽是如此，然而万变不离其宗，这里我们将从一个简而小的登录场景去接触SSO的本质，描述如何原生态地自实现一个轻量、微核的SSO（本文不提供源码）。 文章将由浅入深地探讨SSO（单点登录），涉及SSO的定义、表现、原理、实现细节等方面的阐述，借助大家熟知的淘宝、天猫登录场景，通过对阿里登录的模仿实现，建立一个简单模型，然后不断由该模型进行迭代并对每一个迭代版本进行详细描述，最终得到一个支持跨域的SSO（ 力求条理清晰，层层递进，简单但有深度！！！！开始部分本着让即使从未听过SSO的同学也能够从抽象文字定义的概念印象过渡到具象的视觉认知这一宏（zhuang）伟（bi）理念入手，将会有很多浅显的描述，

在做前端获取接口数据时发现控制台打印了这样一段信息： A cookie associated with a cross-site resource at http://xx.xxx.xxx.xx/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032. 去查了资料后发现，因为 HTTP 协议是无状态的，所以很久以前的网站是没有登录这个概念的，直到网景发明 cookie 以后，网站才开始利用 cookie 记录用户的登录状态。cookie 是个好东西，但它很不安全，其中一个原因是因为

函数 服务端函数 func Handle(pattern string, handler Handler)将handler按照指定的格式注册到 DefaultServeMux,ServeMux解释了模式匹配规则 func HandleFunc(pattern string, handler func(ResponseWriter, *Request))同上，主要用来实现动 态文件内容的展示，这点与ServerFile()不同的地方。 func ListenAndServe(addr string, handler Handler) error监听TCP网络地址addr然后调用具有 handler的Serve去处理连接请求.通常情况下Handler是nil,使用默认的DefaultServeMux func ListenAndServeTLS(addr string, certFile string, keyFile string, handler Handler) error该函数与ListenAndServe功能基本相同,二者不同之处是该函数需要HTTPS连接.也就是说,必须给该服务 Serve提供一个包含整数的秘钥的文件,如果证书是由证书机构签署的,那么证书文件必须是服务证书之后跟着CA 证书. func ServeFile(w ResponseWriter, r

获取GET/POST过来的数据 Yii::app()->request->getParam('id'); # $_GET['id'] or $_POST['id'] session/cookie $_SESSION 等价于 Yii::app()->session; //启动session $session=new CHttpSession; $session->open(); 写入session Yii::app()->session['key'] = 'value'; 读取session Yii::app()->session['key'] 获取sessionid Yii::app()->session->sessionID 销毁session Yii::app()->session->clear(); Yii::app->session->destory(); 2.2.1 设置cookie $cookie = new CHttpCookie(‘mycookie’,'this is my cookie’); $cookie->expire = time()+60*60*24*30; //有限期30天 Yii::app()->request->cookies['mycookie']=$cookie; 2.2.2 读取cookie $cookie = Yii::app()-