cookie

jmeter cookie管理器 不能用正则表达式获取登录接口生成的cookie 因为cookies并 不是在登录的响应结果 中生成的，而是在 response header 中携带的，所以不能用正则表达式提取。 需要用 jmeter cookie管理器 来获取登录接口response header返回的cookie值，然后将cookie值传递给其他接口进行使用。 1、jmeter.properties 中 将 CookieManager.save.cookies 设置为true 不添加cookie管理器的情况下，不显示cookie信息 2、添加一个cookie管理器，什么都不用填 3、把需要用到的请求放到登录后面。后面的请求就会跟上cookie 来源： https://www.cnblogs.com/111testing/p/11893957.html

什么是Cookie Cookie就是代表你身份的一串字符串，网站根据Cookie来识别你是谁，如果你获取了管理员的Cookie，就表示你可以无需密码直接登陆管理员账号。 Cookie注入的原理 在动态脚本语言中存在超全局变量可以获取多种传参方式(基本上) 很多时候开发在开发的时候为了考虑到多种接受参数，在接受参数的时候都是用多种解释传参的方法 例如: php中的$_REQUEST[] 可以获取POST|GET|COOKIE传参 注：php 5.4以上版本就不会接受Cookie传参了。 如果说开发用了$_REQUEST[]来接受参数,然后我们的POST和GET传参被Waf拦截了怎么办？ 那么也许没有对进行检测，我们尝试用进行传参，然后不就可以绕过检测机制 Cookie注入的方法 1.抓取数据包，添加Cookie字段在请求头 Cookie传参值需要URL编码，记得将传参的值URL编码下 在线URL: http://tool.chinaz.com/Tools/urlencode.aspx 2.在浏览器上设置Cookie 浏览器页面按F12调出开发者工具，选择Console打开浏览器的控制台，输入js语句设置Cookie： 通过document.cookie来设置Cookie Cookie名字为 id escape是一个编码函数，这个函数会进行一次URL编码 3.Sqlmap工具 例：

滴~ 0x00 打开页面观察，查看源代码,发现图片是用base64传过来的。 观察URL，有参数jpg，参数值猜测是base64编码。 看这结果，顺手再解密一次，得到如下： 结果中存在字母数字，猜测是16进制数据，尝试转成字符串得到如下： 根据页面提示的flag.jpg，感觉类似文件包含。那么就进行如下尝试： jpg=base64(base64(hex('index.php'))) 最终URL：http://117.51.150.246/index.php?jpg=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 访问，查看源代码，将图片base64数据解码，得到index.php 0x01 在index.php源代码注释中发现博客链接，访问查看未发现可疑。 回到源代码注释中，有日期提示，这个日期和链接的文章日期对不上。在博主原创文章中找到对应日期的博文。发现提示： 浏览器访问这个文件，得到提示如下： 通过上面一样的步骤，获取一下f1ag!ddctf.php的内容。但这里有个要注意的地方，就是index.php代码中的正则表达式，只允许0-9a-zA-Z和字符点（.）。这个文件名中存在感叹号，无法通过正则。但是下面一行代码$file = str_replace("config","!", $file);将config替换成感叹号（!）

1、什么是HTTP协议 定义了客户端与服务器之间数据传输的规约，称为超文本传输协议。 2、HTTP协议与TCP/IP协议的关系 HTTP协议是应用层协议，TCP/IP协议是传输层和网络层协议，HTTP协议使用TCP/IP为其传送数据。 3、长链接与短链接 长链接： 建立链接直到数据传输完毕关闭链接，适用于QQ通信等经常连续发送消息的情况。 短链接： 一次传输建立关闭一次链接，适用于高并发的情况避免长链接长时间占用资源。 4、HTTP协议的特征 支持客户端服务器模式 简单方便，所以不安全，提供任何数据加密措施 无状态 5、怎样理解HTTP的无状态 是指HTTP协议对事物的处理没有记忆能力，服务端不记得客户端之前发送过什么请求，也不记得回应过什么，它只知道来了请求就处理，客户端同理。 6、URI与URL URI： 统一资源标识符，唯一的标识互联网上的资源 URL： 统一资源定位符，支出资源所在的位置，URL是URI的子集 7、HTTP协议中的方法 get： 从服务器获取指定URI的资源 post： 向服务器传送资源 put： 将报文的主体内容保存在相应的URI上，由于任何都可以上传文件，不安全，一般不用 delete： 删除文件删除对应URI上的资源，同put head： 与get方法类似，只获得响应报文首部，用于探测资源的有效性 trace： 可以探测发出去的请求报文是怎样被修改的

Go 语言实现操作session不像cookie那样，net/http包里有现成函数可以很方便的使用，一些web服务用到session的话，没办法地自己敲代码实现。 Go具体实现session: 服务端可以通过内存、redis、数据库等存储session数据(本例只有内存)。 通过cookie将唯一SessionID发送到客户端 session.go package session import ( "crypto/rand" "encoding/base64" "fmt" "io" "net/http" "net/url" "sync" "time" ) //session存储方式接口 type Provider interface { //初始化一个session，sid根据需要生成后传入 SessionInit(sid string) (Session, error) //根据sid,获取session SessionRead(sid string) (Session, error) //销毁session SessionDestroy(sid string) error //回收 SessionGC(maxLifeTime int64) } //Session操作接口 type Session interface { Set(key, value interface{})

什么是Requests库？ requests库github地址：https://github.com/requests/requests Reqyests库主要用来准备Request和处理Response。 为什么要学习Requests库？ web开发和爬虫都需要学习的东西，在服务端编程中理解好Requests库可以更好的编写Restful API的程序，还是自动化测试的工具箱。 安装Requests库 pip install requests 这个是安装requests库的 1 pip install gunicorn gunicorn是一个 python Wsgi http server ，只支持在Unix系统上运行，来源于Ruby的unicorn项目。 pip install httpbin httpbin是一个http库的测试工具 gunicorn httpbin:app 通过gunicorn启动httpbin,可以通过127.0.0.1/8000访问 简单了解http协议 http协议:HyperText Transfer Protocl 超文本传输协议. http协议是 应用层 上的一个 无状态 的协议，是一种为分布式，协作式，多媒体信息服务的协议。 1 2 3 4 > GET / HTTP/1.1 > Host: www.imooc.com > User-Agent:

跨域的 “域” 指的是 URL，包括协议、域名、端口。 cookie 和跨域没关系，只和域名有关，和端口无关。 http://test1.demo.com:8080 与 http://test2.demo.com:8081 之间共享 cookie 准确的说，cookie 不能跨域名，而不是 cookie 不能跨域。 跨域： 指的是 浏览器不能执行其他网站的脚本 。它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。 同源策略： 是指协议，域名，端口都要相同，其中有一个不同都会产生跨域； nginx实现跨域的原理 实际就是把web项目和后端接口项目放到一个域中 来源： https://www.cnblogs.com/itplay/p/11887873.html

方案一：添加Cookie管理器，把用户的登录状态存在cookie管理器中，类似于浏览器 存储测试结果： 监听器->保存响应到文件，对结果进行存储 文件名前缀：保存到哪个地方前缀是什么D:\test_ 变量名：把结果存储起来，后续用到的时候，直接通过变量名来获取 Jmeter协会结果到excel 来源： https://www.cnblogs.com/ella-li/p/11887524.html

1 js跨域请求 1.1 域名的比较 1.2 什么是JS跨域: 1.3 默认情况下JS不允许跨域 1.4Access-Control-Allow-Origin 2 跨域解决方案CORS 2 .1 服务端 操作cookie 不操作cookie SpringMVC跨域注解 2. 2 浏览器端 不操作cookie 操作cookie 1 js跨域请求 这里说的 js跨域 是指通过js在不同的域之间进行数据传输或通信，比如用ajax向一个不同的域请求数据，或者通过js获取页面中不同域的框架中(iframe)的数据。只要 协议 、 域名(或主机地址) 、 端口 有任何一个不同，都被当作是不同的域。 1.1 域名的比较 http://cas.feixue.com http://cart.feixue.com 不同的域,域名不同 http://192.168.25/aaa http://192.168.24/aaa 不同的域,地址不一样不同 http://192.168.0.130/aaa https//192.168.0.130/aaa http://192.168.0.130/aaa http://192.168.0.130:80/bbb 相同的域,协议,主机地址,端口号都一样.端口号默认80 http://192.168.0.130/aaa http://192.168.0.130/bbb

JS跨域请求 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信，比如用ajax向一个不同的域请求数据，或者通过js获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有任何一个不同，都被当作是不同的域 跨域解决方案 CORS方案 CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。 CORS通信与同源的AJAX通信代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。 因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。 请求过程如下图: Preflight Request： 然后服务器端给我们返回一个Preflight Response: Access-Control-Allow-Origin Access-Control-Allow-Origin是HTML5中定义的一种解决资源跨域的策略。 他是通过服务器端返回带有Access-Control