cookie

介绍 localStorage: localStorage 是永久的，localStorage 除非用户主动删除数据，否则数据永远不会消失。存放数据大小为5M左右 sessionStorage: sessionStorage 仅在当前会话下有效。sessionStorage 在关闭了浏览器窗口后就会被销毁。存放数据大小为5M左右 cookie: 在设置的cookie过期时间之前一直有效。 存放数据大小为4K左右, 有个数限制（一般不能超过20个） localStorage 和 sessionStorage 用法相同 存储数据 sessionStorage . setItem ( 'key' , 'value' ) ; localStorage . setItem ( 'key' , 'value' ) ; 取数据 sessionStorage . getItem ( 'key' ) ; localStorage . getItem ( 'key' ) ; 更改数据 更改数据跟存储数据类似，可直接进行赋值 sessionStorage . setItem ( 'key' , 'newVal' ) ; localStorage . setItem ( 'key' , 'newVal' ) ; 删除指定数据 sessionStorage . removeItem ( 'key' ) ;

网站登录抓包 用谷歌浏览器配合开发者工具进行的抓包，抓包过程可以去网盘下载录像 抓包演示 提取码：7sdr 整体代码 import urllib . request import urllib . parse from http . cookiejar import CookieJar u = input ( "请输入用户名：" ) p = input ( "请输入密码:" ) url = "http://my.gfan.com/doLogin" headers = { "User-Agent" : "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" } data = { "loginName" : u , "password" : p } data = urllib . parse . urlencode ( data ) . encode ( "utf8" ) cookie = CookieJar ( ) cookies = urllib . request . HTTPCookieProcessor ( cookie ) #创建一个处理cookie的handler opener = urllib . request . build_opener ( cookies )

Cookie：客户端会话技术，将数据保存到客户端 1.基于响应头set-cookie和请求cookie实现 　　创建cookie对象new Cookie(); 　　发送Cookie对象response.addCookie(); 　　获取Cookie对象request.getCookies()； 2. 一次可不可以发送多个cookie? 　　可以 　　可以创建多个Cookie对象，使用response调用多次addCookie方法发送cookie即可。 3. cookie在浏览器中保存多长时间？ 　　默认情况下，当浏览器关闭后，Cookie数据被销毁 　　持久化存储： 　　setMaxAge(int seconds) 　　　　正数：将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间，时间到后，cookie文件自动失效 　　　　负数：默认值 　　　　零：删除cookie信息 4. cookie能不能存中文？ 　　在tomcat 8 之前 cookie中不能直接存储中文数据。 　　需要将中文数据转码---一般采用URL编码(%E3) 　　在tomcat 8 之后，cookie支持中文数据。特殊字符还是不支持，建议使用URL编码存储，URL解码解析 5.cookie共享问题？ 　　假设在一个tomcat服务器中，部署了多个web项目

这里还有一篇帖子写得很详细，可以拜读一下 https://www.cnblogs.com/ranyonsue/p/5984001.html 前传：HTTP协议的演变过程 　　HTTP（HyperText Transfer Protocol）协议是基于TCP的应用层协议，它不关心数据传输的细节，主要是用来规定客户端和服务端的数据传输格式，最初是用来向客户端传输HTML页面的内容。默认端口是80。 1.HTTP 0.9版本　　1991年 　　这个版本就是最初用来向客户端传输HTML页面的，所以只有一个GET命令，然后服务器返回客户端一个HTML页面，不能是其他格式。利用这个版本完全可以构建一个简单的静态网站了。 2.HTTP 1.0版本　　1996年 　　1.0版本是改变比较大的，奠定了现在HTTP协议的基础。这个版本的协议不仅可以传输HTML的文本页面，还可以传输其他二进制文件，例如图片、视频。而且还增加了现在常用的POST和HEAD命令。请求消息和响应消息也不是单一的了，规定了一些元数据字段。例如字符集、编码、状态响应码等。 3.HTTP 1.1版本　　1997年 　　实际上是在1.0版本之后半年时间又发布了一个版本，这个版本在1.0版本的基础上更加完善了。这个版本增加了持久连接，就是说之前版本的协议一次请求就是一次TCP连接，请求完成后这个连接就关闭掉了

在通常的使用中，我们只知道session信息是存放在服务器端，而cookie是存放在客户端。但服务器如何使用session和客户端之间进行通信，以及jsessionId是怎么回事，这并没有一个完整和正确的认识，因此这里将这类信息汇总。 session中的jsessionId是在session创建好之后，发送给客户端。然后在每一次请求中，客户端即会将这个信息传递给服务器端，服务器端使用这个信息来维护和客户端之间的会话通信，在浏览器关闭之后，这个session就消失了。 而对于普通的cookie来说，它是有着一定的时间存放在客户端的机器中的。当下次打开浏览器时，这个cookie就会被读取，同时在请求时发放到服务器端。在关闭浏览器，这个cookie仍然存在的，并没有消失。 那么，这两者之间有没有联系呢，这就要看官方对于Cookie的不同分类，其实就对应着session Cookie和psersistent Cookie的描述了。如下所示： Session Cookie A user’s session cookie[15] (also known as an in-memory cookie or transient cookie) for a website exists in temporary memory only while the user is reading and

一、HTTP协议的无状态性 WEB应用程序使用的是HTTP协议传输数据的，HTTP协议是一个无状态的协议，这次数据传输完毕，客户端会和服务端断开连接，再次传输数据就需要重新建立新的连接，这也就无法会话跟踪。可以理解为服务器是一个健忘症，这次你访问他和它交换数据，下次来他就不认识你了，这是一个很不友好的事情。这个问题有一个很直接的方法解决它，就是服务器你认识你，你每次都告诉它你的名字，也就是每次客户端访问的时候都需要带上自己的参数,可以采用GET请求每次带上自己的参数，但是这肯定是不可取的，应为GET请求会把参数信息放在浏览器的地址栏中，信息都暴露了，完全保证不了安全性。为了解决HTTP协议这个健忘症患者，cookie和session技术登上了历史舞台。 二、Cookie 既然每次GET请求的时候把数据带上保证安全的，cookie技术把数据放在请求头中了，这样就安全一点了吧。其实也不怎么安全..后面说。cookie技术是一种客户端技术，首先程序给客户端以cookie的形式把数据存放在了浏览器中，这样浏览器再次去请求的时候会带上这个数据，这样浏览器就认识这个请求了。访问过程就是客户端第一次访问服务器的时候浏览器会在响应头中加上 Set-Cookie 信息，当跳转到另外一个资源的时候也就是再次发送一个请求的时候，请求会在请求头上带上 Cookie:xxx ,也就是前面自己的数据

##### cookie 通过在客户端记录信息确定用户身份,Session通过在服务记录信息确定用户身份 http信息是无状态的协议。一旦数据交换完毕,客户端与服务器的链接就会关闭，再次交换数据需要建立新的链接。这就意味者服务器无法在链接上跟踪会话。 cookie就是这样的一种机制，它可以弥补http无状态的不足。 - 通过request.getCookie()获取客户端提交的所有的Cookie(Cookie[])数组形式返回。 - response.addCookie(Cookie cookie) 向 客户端设置Cookie. - cookie的不可夸域名性 Cookie在客户端是由浏览器来管理的 不同的域名的客户端是不能相互操作的 - cookie 的删除与修改 Cookie如果要修改某个Cookie，只需要新建一个同名的Cookie，添加到response中覆盖原来的Cookie。 如果要删除某个Cookie，只需要新建一个同名的Cookie，并将maxAge设置为0，并添加到response中覆盖原来的Cookie。注意是0而不是负数。负数代表其他的意义。读者可以通过上例的程序进行验证，设置不同的属性 ## Session是服务器端使用的一种记录客户端状态的 机制，使用上比Cookie简单些，相应的增加服务的存储压力。 - session保存在服务器端

案例：记住上一次访问时间 **需求：** 一：访问一个servlet，如果是第一次访问，则提示：你好，欢迎您首次访问。 二：如果不是第一次访问，则提示：欢迎回来，您上次访问时间为：显示时间字符串。 分析： 一：可以采用Cookie来完成。 二：在服务器中的Servlet判断是否有一个名为lastTime的cookie 一：有，不是第一次访问 1：响应数据：欢迎回来，您上次访问时间为：显示时间字符串。 2：写回cookie：lastTime=,...... 二：没有：是第一次访问 1：响应数据：你好，欢迎您首次访问。 2：写回cookie：lastTime=,...... 项目准备： 一：导入相关jar包maven依赖： < ! -- javaEE -- > < dependency > < groupId > javax . servlet < / groupId > < artifactId > javax . servlet - api < / artifactId > < version > 3.1 .0 < / version > < / dependency > < dependency > < groupId > javax . servlet . jsp < / groupId > < artifactId > javax . servlet . jsp - api

面试题篇（2016）】java基础 1. get和post的区别 都是http的请求方式 get 一般用于获取查询资源信息，提交的数据会在地址栏显示出来，有长度限制，安全性较低 post一般用于更新资源信息，提交的数据放在请求头的消息体中，没有长度限制，安全性较高 2. 对servlet的理解 全称Java Servlet，是用java编写的服务器端程序，都要实现Servlet接口的类 3. servlet生命周期 Servlet 通过调用 init () 方法进行初始化。 Servlet 调用 service() 方法来处理客户端的请求。 Servlet 通过调用 destroy() 方法终止（结束）。 4. forward和redirect的区别 名字 含义 forward 服务器端的转向，是在一次请求中完成的，在客户端浏览器地址中不会显示出转向后的地址（更高效） redirect 客户端的转向，浏览器将会得到跳转的地址，并 重新发送 请求链接，如需跳转到另一个服务器上的资源，使用sendRedirect() 方法 5. jsp和servlet的区别 jsp是servlet的扩展，所有的jsp文件都会被翻译为一个继承HttpServlet的类，也就是说jsp最终也是一个Servlet。 jsp侧重视图，servlet主要用于控制逻辑。 6. jsp的内置对象 九大内置对象 含义

这是一篇关于XSS攻击的文章，前阵子看到一篇 关于博客园找找看XSS漏洞的文章 ，我研究了一下，发现事隔三个月，漏洞还在，不知为何。 漏洞分析 用一下找找看的搜索功能就容易发现，搜索功能往url中传递了两个参数名“w”和“t”，输入框对应“w”，搜索分类对应“t”。看不到t参数的，点击一下搜索框上的分类链接就会找到。 按常理，输入框是最容易发生攻击的地方，因此找找看也作了防护。根据我的测试，至少有如下两种防护措施： 正则表达式匹配并删除字符串包含”<script></script>”的部分。 服务器端对输入字符串长度做了限制。 虽说方法并不完美，但两个加一起的确可以达到防护目的。参数“w”安全，可参数“t”却没有任何的防护措施，因此，漏洞就在这里。 通过分析代码，可看到最后”t“传给了一个隐藏表单，代码如下： <input type="hidden" class="txtSeach" name="t" id="t" value=""> 那我们只要将该input闭合，就可以随心所欲的输入任何内容，比如我们输入‘ Test"/><input type="hidden ’，最后的结果就变成： <input type="hidden" class="txtSeach" name="t" id="t" value="Test"/><input type="hidden"/>