cookie

function clearCookie(){ if(document.cookie.length < 2048){ return; } //cookie大于2kb,清除cookie var cookies =document.cookie.replace(/\s*/g,'').split(';'); var cookieNameArr=$.map(cookies,function(e){ return e.split('=')[0]; }) $.each(cookieNameArr,function(i,name){ var cookiePre = name + "=;expires="+new Date(new Date()-1* 24 * 60 * 60 * 1000).toUTCString()+";path=/;"; document.cookie = cookiePre;//IE下支持 document.cookie = cookiePre + "domain=.lenovo.com.cn;"; document.cookie = cookiePre +"domain=robot.lenovo.com.cn;"; if($.browser.mozilla){ document.cookie = cookiePre.replace("path=/;",'path=

找到相关的cookie，然后修改它为过期， 然后执行重要的一步 Response.Co o ki es.Add(aCookie); 出处: http://www.webyj.net/News_View.aspx?id=7 为什么在这一个页面清掉了cookie,但别的页面仍可以读出.代码如下: login.aspx: HttpCookie cookie = new HttpCookie("UserID")+Response.Cookies.Add(cookie)创建一个名为"UserID"的cookie,通过这个页面的一个文字链接转至loginout.aspx页,这个页面进入即运行下面的代码, loginout.aspx: Request.Cookies.Clear()并通过if语包判断Request.Cookies["UserID"] ==null条也成立.问题就是重新回到login.aspx页时,重新判断这个条件却是不成立的了,而出可以读出cookie值来.(问题都出在没有关闭浏览器的情况,关闭浏览器后再开就没有问题了.) 请问高手们,这个问题应该如何解决??????????????????????????????/ 在线等,谢谢!!! 问题补充： 高手不行啊!请看看这个删除cookier代码 HttpCookie cookie = new HttpCookie("UserID"

3 月，跳不动了？>>> 　Session存储在服务器端，一般为了防止在服务器的内存中（为了高速存取），Sessinon在用户访问第一次访问服务器时创建， 需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session，可调用request.getSession(true)强制生成Session。 　　 Session什么时候失效？ 　　1. 服务器会把长时间没有活动的Session从服务器内存中清除，此时Session便失效。Tomcat中Session的默认失效时间为20分钟。 　　2. 调用Session的invalidate方法。 　　 Session对浏览器的要求： 　 　 虽然Session保存在服务器，对客户端是透明的，它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一客户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的id（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。 该Cookie为服务器自动生成的，它的maxAge属性一般为-1，表示仅当前浏览器内有效

各种保护机制绕过手法 一.绕过GS编译选项 ●原理: 通过VC++编译器在函数前后添加额外的处理代码，前部分用于由伪随机数生成的cookie并放入.data节段，当本地变量初始化，就会向栈中插入cookie，它位于局部变量和返回地址之间 ●绕过方法: 1.猜测/计算cookie Reducing the Effective Entropy of GS Cookies：http://www.uninformed.org/?v=7&a=2&t=html 至从覆盖SEH的方法出现后，这种方法目前已基本不用了，它没有后面的方法来得简便 2.覆盖SEH 由于当security_check_cookie()函数检测到cookie被更改后，会检查是否安装了安全处理例程，也就是SEH节点中保存的指针，如果没有，那么由系统的异常处理器接管，因此我们可以通过(pop pop ret)覆盖SEH来达到溢出的目的。但对于受SafeSEH保护的模块，就可能会导致exploit失效，关于它的绕过在后续部分再述 辅助工具：OD插件safeSEH、pattern_create、pattern_offset、msfpescan、memdump 3.覆盖虚表指针 堆栈布局：[局部变量][cookie][入栈寄存器][返回地址][参数][虚表指针] 当把虚表指针覆盖后，由于要执行虚函数得通过虚表指针来搜索

一、浏览器驱动 通过不同的浏览器执行脚本。 Open Browser Htpp://www.xxx.com chrome 浏览器对应的关键字： firefox FireFox ff internetexplorer Internet Explorer ie googlechrome Google Chrome gc chrome opera Opera phantomjs PhantomJS htmlunit HTMLUnit htmlunitwithjs HTMLUnit with Javascipt support android Android iphone Iphone safari Safari 备注： 要想通过不同的浏览打开URL地址，一定要安装浏览器相对应的驱动。如chrome 的驱动： chromedriver.exe 等。 浏览器默认为空时启动FireFox。 二、关闭浏览器 关闭浏览器 Close Browser 关闭当前的浏览器。 关闭所有浏览器 Close All Browsers 关闭所有打开的浏览器和浏览器缓存重置。 三、浏览器最大化 Maximize Browser Window 使当前打开的浏览器全屏。 四、设置浏览器宽、高 Get Window Size 800 600 以像素为单位，第一个参数800表示宽度，第二个参数600表示高度。 五

一、window.open()支持环境： JavaScript1.0+/JScript1.0+/Nav2+/IE3+/Opera3+ 二、基本语法： window.open(pageURL,name,parameters) 其中： pageURL 为子窗口路径 name 为子窗口句柄 parameters 为窗口参数(各参数用逗号分隔) 三、示例： <SCRIPT> <!-- window.open ('page.html','newwindow','height=100,width=400,top=0,left=0,toolbar=no,menubar=no,scrollbars=no, resizable=no,location=no, status=no') //写成一行 --> </SCRIPT> 脚本运行后，page.html将在新窗体newwindow中打开，宽为100，高为400，距屏顶0象素，屏左0象素，无工具条，无菜单条，无滚动条，不可调整大小，无地址栏，无状态栏。请对照。 上例中涉及的为常用的几个参数，除此以外还有很多其他参数，请见四。 四、各项参数 其中yes/no也可使用1/0；pixel value为具体的数值，单位象素。 参数 | 取值范围 | 说明 alwaysLowered | yes/no | 指定窗口隐藏在所有窗口之后 alwaysRaised

web常见攻击手段 我只会大概提及它的攻击原理和预防方法，具体的实现和深入研究还请大家自行百度，因为只有真正需要用到才会去详细了解，这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。 跨站脚本攻击（XSS） 虽然我们目前做的是一个博客的小网站，但是以后无论是自己的博客还是实际的项目，都可以用图片来提供外链，方便管理，如果你的网站访问量很高啊，一天几十万几百万啊，我的天啊，这时候你考虑的就不是服务器空间够不够大，而是惊人的并发数啊，光是请求html文件（或其他）的链接就处理不过来了，哪还有多余的资源去读取图片啊，索性就把图片存另一个服务器吧，给主服务器减轻压力啊，于是图床诞生了。 反射型XSS 它是通过诱使用户打开一个恶意链接，服务端将链接中参数的恶意代码渲染到页面中，再传递给用户由浏览器执行，从而达到攻击的目的。如下面的链接： http://a.com/a.jsp?name=xss<script>alert(1)</script> a.jsp将页面渲染成下面的html： Hello xss<script>alert(1)</script> 这时浏览器将会弹出提示框。 持久型XSS 持久型XSS将恶意代码提交给服务器，并且存储在服务器端，当用户访问相关内容时再渲染到页面中，以达到攻击的目的，它的危害更大。 比如

一 什么是cookie 什么是cookie?如果单单从数据结构的角度来说,它可以被理解成用来保存数据的一个dictionary,由一组组键值对组成.如果从作用上来说,我们知道Http协议是一种无状态的协议.什么叫无状态呢,就是本次的客户端请求不会保留上一次客户端请求的状态,简单点说就是这样会要求我们每次在浏览器中点开一个网站的链接都会输一次账户和密码.cookie就是用来解决这个问题的. 为了解决上述问题,我们第一次登录web服务器,服务端就会在它的响应中的Set-Cookie字段中发送一些键值对,这就包括一个Session ID以及其他一些信息(也包括我们自定义的cookie中的键值对),并告诉客户端在本地缓存这个cookie.然后客户端以后进行链接时每次都会发送这个Session ID,服务器一看是哪个Session ID就知道是哪个客户端发起的链接了,就不会要求我们再次输账户和密码验证了. 我们在flask中自定义cookie,实际上就是在响应Response的Set-Cookie字段中增加我们自定义的键值对.而获取cookie,就是通过请求Request中通过键获取其对应的值. 二 设置cookie 通过响应对象的set_cookie方法我们可以设置自定义cookie: @app.route('/set_cookie') def set_cookie ():

这里我们选择的方法是cookie的方式去记录 首先我们写将用户名和密码写到cookie的js代码 //保存到cookie function save_cookies(){ if($("#remember").prop("checked")){ var username = $("#username").val(); var password = $("#password").val(); $.cookie("remember","true",{expires:7}); $.cookie("username",username,{expires:7 }); $.cookie("password",password,{expires:7 }); }else{ $.cookie("remember","false",{expires:-1}); $.cookie("username","",{ expires:-1 }); $.cookie("password","",{ expires:-1 }); } }; 注意：$("#id").prop("checked") 通过这个来获取复选框 勾选状态 jquery1.6版本之后用prop方法，之前版本用attr方法。 千万注意prop不要写错，我就把prop写成了porp找了好久的问题，原来是自己把自己坑了。 1.$.cookie(

ASP.NET的安全认证：Windows验证 （默认）、none、Passport、Forms Froms验证 一、开启Forms验证 1、打开web.config配置文件 2、找到<authentication mode="Windows"/> ，修改为 <authentication mode="Forms"> <forms loginUrl="login.aspx" defaultUrl="default.aspx" name=".ASPX"></forms> </authentication> 即将login.aspx设为默认登录页，如果系统检测到用户未登录，则自动跳转到login.aspx页面;默认主页为：default.aspx;后缀名为：.ASPX; 添加<authorization>，设置访问权限 <authorization> <deny users="?" ></deny> <!--问好代表匿名用户，*代表阻止所有用户--> </authorization> 如果使用Forms验证，就需要用FormsAuthentication类来实现验证过程,FormsAuthentication类经常和Membership类结合使用，进行用户的登录验证。 创建身份验证 Cookie SetAuthCookie ( string userName, bool