cookie

XSS XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,是WEB应用程序中最常见到的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序, 当用户打开该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie、 盗取用户名密码、下载执行病毒木马程序等等。 有一种场景,用户在表单上输入一段数据后,提交给服务端进行持久化,其他页面上需要从服务端将数据取出来展示。还是使用之前那个表单nick,用户输入昵称之后,服务端会将nick保存,并在新的页面展现给用户,当普通用户正常输入hollis,页面会显示用户的 nick为hollis: <body> hollis </body> 但是,如果用户输入的不是一段正常的nick字符串,而是 <script>alert("haha")</script> , 服务端会将这段脚本保存起来,当有用户查看该页面时,页面会出现如下代码: <body> <script> alert("haha") </script> </body> XSS该如何防御 XSS之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行HTML转义处理,将其中的“尖括号”、“单引号”、“引号”

服务器端获取Session对象依赖于客户端携带的Cookie中的JSESSIONID数据。如果用户把浏览器的隐私级别调到最高，这时浏览器是不会接受Cookie、这样导致永远在服务器端都拿不到的JSESSIONID信息。这样就导致服务器端的Session使用不了。 Java针对Cookie禁用，给出了解决方案，依然可以保证JSESSIONID的传输。 Java中给出了再所有的路径的后面拼接JSESSIONID信息。 1 在 Session1Servlet中，使用response.encodeURL(url) 对超链接路径拼接 session的唯一标识 [Java] 纯文本查看 复制代码 ? 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 @WebServlet ( "/sessionDemo5" ) public class SessionDemo5 extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { HttpSession session = request.getSession();

Cookie 将用户相关的信息保存在客户端 客户端每次访问服务器都会自动携带cookie的数据 Cookie cookie = new Cookie(name, value); response.addCookie(cookie); 什么是会话Cookie 保存在浏览器内中的属于会话cookie 特点：关闭浏览器的时候就会清楚cookie 什么是持久会话cookie 数据保存客户端硬盘上 通过setMaxAge 设置为持久 Cookie的有效路径 cookie.setPath(“/work”); 删除cookie cookie.setMaxAge(0); cookie.setPath(“/work”); response.addCookie(cookie); //request.getRequestDispatcher(“/pro.jsp”).forward();//转发 response.sendRedirect(“/work/pro.jsp”);//重定向 有效域名 访问sina的时候，设置cookie.setDomain(“.baidu.com”); 这是第三方cookie，是不安全的。一般浏览器都不接受。 访问sina时候，生成的cookie，cookie.setDomain(.sina.com.cn); 这个是第一方cookie ---------------------

LNMP—MemCache在tomcat中实现交叉存储 1. 什么是cookie和session 1.1 cookie 1.2 session 1.3 cookie和session结合使用 2. 为什么需要实现交叉存储 3. 在tomcat中实现session共享 4. 实现交叉存储 1. 什么是cookie和session 1.1 cookie Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用 。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能, 而这一切都不必使用复杂的CGI等程序。 举例来说, 一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值

常用curl实例 抓取页面内容到一个文件中 curl -o home.html http://www.sina.com.cn 用 -O（大写的） ，后面的url要具体到某个文件，不然抓不下来。我们还可以用正则来抓取东西 curl -O http://www.mydomain.com/linux/index.html 模拟表单信息，模拟登录，保存cookie信息 curl -c ./cookie_c.txt -F log=aaaa -F pwd=****** http://blog.mydomain.com/login.php 模拟表单信息，模拟登录，保存头信息 curl -D ./cookie_D.txt -F log=aaaa -F pwd=****** http://blog.mydomain.com/login.php -c(小写) 产生的cookie和 -D里面的cookie是不一样的 使用cookie文件 curl -b ./cookie_c.txt http://blog.mydomain.com/wp-admin 断点续传， -C(大写的) curl -C -O http://www.sina.com.cn 传送数据 最好用登录页面测试，因为你传值过去后，回抓数据，你可以看到你传值有没有成功 curl -d log=aaaa http://blog.mydomain

摘要： 　　最近研究使用加密cookie给不同系统作同步登陆，其中遇到了一些关于cookie设置和cookie路径的问题，结合查找的资料和经验写一下总结。 PHP setcookie()函数 　　 定义和用法 　　setcookie() 函数向客户端发送一个 HTTP cookie。 　　cookie 是由服务器发送到浏览器的变量。cookie 通常是服务器嵌入到用户计算机中的小文本文件。每当计算机通过浏览器请求一个页面，就会发送这个 cookie。 　　cookie 的名称指定为相同名称的变量。例如，如果被发送的 cookie 名为 "name"，会自动创建名为 $user 的变量，包含 cookie 的值。 　　必须在任何其他输出发送前对 cookie 进行赋值。 　　如果成功，则该函数返回 true，否则返回 false。 　　 语法 setcookie(name,value,expire,path,domain,secure) 参数 描述 name 必需。规定 cookie 的名称。 value 必需。规定 cookie 的值。 expire 可选。规定 cookie 的有效期。 path 可选。规定 cookie 的服务器路径。 domain 可选。规定 cookie 的域名。 secure 可选。规定是否通过安全的 HTTPS 连接来传输 cookie。 　　

用户提交表单时可能因为网速的原因，或者网页被恶意刷新，致使同一条记录重复插入到数据库中，这是一个比较棘手的问题。我们可以从客户端和服务器端一起着手，设法避免同一表单的重复提交。 1．使用客户端脚本 提到客户端脚本，经常使用的是JavaScript进行常规输入验证。在下面的例子中，我们使用它处理表单的重复提交问题，请看下面的代码： <form method="post" name="register" action="test.php" enctype="multipart/form-data"> <input name="text" type="text" id="text" /> <input name="cont" value="提交" type="button" onClick="document.register.cont.value='正在提交,请等待...'; document.register.cont.disabled=true;document.the_form.submit();"> </form> 当用户单击“提交”按钮后，该按钮将变为灰色不可用状态。 上面的例子中使用OnClick事件检测用户的提交状态，如果单击了“提交”按钮，该按钮立即置为失效状态，用户不能单击按钮再次提交。 还有一个方法，也是利用JavaScript的功能，但是使用的是OnSubmit(

前端常见跨域解决方案（全） 什么是跨域？ 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。 广义的跨域： 1.) 资源跳转： A链接、重定向、表单提交 2.) 资源嵌入：<link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链 3.) 脚本请求： js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。 什么是同源策略？ 同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指”协议+域名+端口”三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 URL 说明 是否允许通信 http : //www.domain.com/a.js http : //www.domain.com/b.js 同一域名，不同文件或路径 允许 http : /

Cookie cookie = new Cookie("key", "value"); responses.addCookie(cookie); 当value值过大或者含有特殊符号时会报错 来源： CSDN 作者： 丶瞳丿 链接： https://blog.csdn.net/qq_37250305/article/details/104655105

前端基础 一、HTTP,HTML,浏览器 1、说一下 http 和 https https 的 SSL 加密是在传输层实现的。 (1)http 和 https 的基本概念: http: 超文本传输协议，是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器 端请求和应答的标准(TCP)，用于从 WWW 服务器传输超文本到本地浏览器的传输协议，它可以 使浏览器更加高效，使网络传输减少。 HTTP 是一个基于 TCP/IP 通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)HTTP 是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。 它于 1990 年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在 WWW 中使用的是 HTTP/1、0 的第六版，HTTP/1、1 的规范化工作正在进行之中，而且 HTTP-NG(Next Generation of HTTP)的建议已经提出。HTTP 协议工作于客户端-服务端架构为上。浏览器作为 HTTP 客户端通过 URL向HTTP服务端即WEB服务器发送所有请求。Web服务器根据接收到的请求后，向客户端发送 响应信息。 https: 是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。