cookie欺骗

这些都是基础知识，不过有必要做深入了解。先简单介绍一下。 二者的定义： 当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择， 都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie 里的内容来判断使用者，送出特定的网页内容给你。 Cookie 的使用很普遍，许多有提供个人化服务的网站，都是利用 Cookie 来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 email 网站，都要用到 Cookie。 具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。 同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制 来达到保存标识的目的，但实际上它还有其他选择。 cookie机制。正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示 浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用 是由浏览器按照一定的原则在后台自动发送给服务器的

这些都是基础知识，不过有必要做深入了解。先简单介绍一下。 二者的定义： 当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择， 都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie 里的内容来判断使用者，送出特定的网页内容给你。 Cookie 的使用很普遍，许多有提供个人化服务的网站，都是利用 Cookie 来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 email 网站，都要用到 Cookie。 具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。 同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制 来达到保存标识的目的，但实际上它还有其他选择。 cookie机制。正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示 浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用 是由浏览器按照一定的原则在后台自动发送给服务器的

应用层 应用层：应用层是网络体系中最高的一层，也是唯一面向用户的一层，应用层将为用户提供常用的应用程序，并实现网络服务的各种功能。常用的电子邮件、上网浏览等网络服务，都是应用层的程序。 表示层：主要进行编码，加密，解密，压缩与解压缩。 会话层：主要功能是在两个节点间建立、维护和释放面向用户的连接，并对会话进行管理和控制，保证会话数据可靠传送。 应用层中的应用软件服务模式：客户/服务器模式、浏览器/服务器和P2P体系结构及混合模式 1)客户/服务器 这种类型就是我们很熟悉的客户端。服务器模型，客户端请求服务器，服务器 2）浏览器/服务器 通过浏览器访问服务器，因而传播更加广泛，如谷歌、百度等。 3）P2P 俩个主机之间的通信。 FTP ftp又称文件传输协议 ftp采用客户/服务器模式，分为客户机和服务器。 提供了一种有效的在客户机和服务器之间的文件下载与上传。 FTP传输数据分为： 控制进程：建立的控制连接，在数据传输过程中21端口一直处于打开状态，处理客户的请求连接。 数据进程：建立的数据连接，主要为了C/S之间传送数据。打开20端口 所以FTP服务打开俩个端口：20端口和21端口。 FTP的传输模式有ASCII模式和二进制模式，传输模式定义了在数据传输过程中以什么形式的编码方式传输数据。 Cookie是什么？ 当我们第一次访问某网站时，cookie会记录某些我们访问过的数据

1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB，一个站点最多保存20个Cookie。 对于session来说并没有上限，但出于对服务器端的性能考虑，session内不要存放过多的东西，并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据。 session中能够存储任何类型的数据，包括且不限于string，integer，list，map等。 4、隐私策略不同 cookie对客户端是可见的，别有用心的人可以分析存放在本地的cookie并进行cookie欺骗，所以它是不安全的。 session存储在服务器上，对客户端是透明对，不存在敏感信息泄漏的风险。 5、有效期上不同 可以通过设置cookie的属性，达到使cookie长期有效的效果 session依赖于名为JSESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session不能达到长期有效的效果。 6、服务器压力不同 cookie保管在客户端，不占用服务器资源。对于并发用户十分多的网站，cookie是很好的选择。 session是保管在服务器端的

点我看 视频 　cookie和session区别 　　1、cookie数据存放在客户的浏览器上，session数据放在服务器上。 　　2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗考虑到安全应当使用session。 　　3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用COOKIE。 　　4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。　　 cookie和session机制上的区别 　　1、存取方式的不同 　　Cookie中只能保管ASCII 字符 串，假如需求存取Unicode字符或者二进制数据，需求先进行编码。Cookie中也不能直接存取 Java 对象。若要 存储 略微复杂的信息，运用Cookie是比拟艰难的。 　　而Session中能够存取任何类型的数据，包括而不限于String、Integer、List、Map等。Session中也能够直接保管JavaBean乃至任何Java类，对象等，运用起来十分便当。能够把Session看做是一个Java容器类。 　　2、隐私策略的不同 　　Cookie存储在客户端阅读器中，对客户端是可见的，客户端的一些程序可能会窥探、复制以至修正Cookie中的内容

前言： cookie和session有着千丝万缕的联系，本文将详细介绍2者的区别。 1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB，一个站点最多保存20个Cookie。 对于session来说并没有上限，但出于对服务器端的性能考虑，session内不要存放过多的东西，并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据。 session中能够存储任何类型的数据，包括且不限于string，integer，list，map等。 4、隐私策略不同 cookie对客户端是可见的，别有用心的人可以分析存放在本地的cookie并进行cookie欺骗，所以它是不安全的。 session存储在服务器上，对客户端是透明对，不存在敏感信息泄漏的风险。 5、有效期上不同 开发可以通过设置cookie的属性，达到使cookie长期有效的效果。 session依赖于名为JSESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session不能达到长期有效的效果。 6、服务器压力不同 cookie保管在客户端

1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB，一个站点最多保存20个Cookie。 对于session来说并没有上限，但出于对服务器端的性能考虑，session内不要存放过多的东西，并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据。 session中能够存储任何类型的数据，包括且不限于string，integer，list，map等。 4、隐私策略不同 cookie对客户端是可见的，别有用心的人可以分析存放在本地的cookie并进行cookie欺骗，所以它是不安全的。 session存储在服务器上，对客户端是透明对，不存在敏感信息泄漏的风险。 5、有效期上不同 开发可以通过设置cookie的属性，达到使cookie长期有效的效果。 session依赖于名为JSESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session不能达到长期有效的效果。 6、服务器压力不同 cookie保管在客户端，不占用服务器资源。对于并发用户十分多的网站，cookie是很好的选择。

1.实现一个最基本的过虑器 １：过虑器只对url（路径）进行过虑。 ２：过虑器开发人员来实现。 ３：过虑器由于是web的核心组,所以这个filter的实现者也必须要配置到web.xml中。 ４：三个生命周期方法:init,destory,doFilter（执行过虑任务）。用户的每次请求，都会执行doFIlter方法，而Init,destory只会执行一次。Init方法执行的时间：在项目启动时，直接初始化Filter的对象，所以会在tomcat启动时执行init方法。 第一步：书写一个类实现Filter接口： @WebFilter("/OneServlet") public class OneFilter implements Filter { public void destroy() { System.err.println("destroy"+this); } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { System.err.println("正在过滤"+this+":"+request); chain.doFilter(request, response);

day03 为什么会出现跨域问题：1、浏览器限制，2、跨域（域名，端口不一样都是跨域），3、XHR（XMLHttpRequest请求）。同时满足三个条件才有可能产生跨域问题。 cookies和session的异同 cookie数据存放在客户的浏览器上，session数据放在服务器上。 cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session。 session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用COOKIE。 单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。cookie 和session 的联系：session是通过cookie来工作的，可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中 CSRF的 攻击原理和防范措施 攻击原理： 用户C访问正常网站A时进行登录，浏览器保存A的cookie 用户C再访问攻击网站B，网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交，传指定的参数 而攻击网站B在访问网站A的时候，浏览器会自动带上网站A的cookie 所以网站A在接收到请求之后可判断当前用户是登录状态，所以根据用户的权限做具体的操作逻辑

前些天学习了Cookie和Session,我以对比的方式来简单说下两者的区别: 什么是Cookie? Cookie 是一小段文本信息，伴随着用户请求和页面在 Web 服务器和浏览器之间传递.Cookie 包含每次用户访问站点时 Web 应用程序都可以读取的信息. 什么是Session? Session 一般译作会话，牛津词典对其的解释是 进行某活动连续的一段时间。 从不同的层面看待session，它有着类似但不全然相同的含义.比如，在web应用的用户看来，他打开浏览器访问一个电子商务网站，登录、并完成购物直到关闭浏览器，这是一个会话。而在web应用的开发者开来，用户登录时我需要创建一个数据结构以存储用户的登录信息，这个结构也叫做session。因此在谈论session的时候要注意上下文环境.而本文谈论的是一种基于HTTP协议的用以增强web应用能力的机制或者说一种方案，它不是单指某种特定的动态页面技术，而这种能力就是保持状态，也可以称作保持会话. Cookie概述 cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间，则表示这 个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie. 会话cookie一般不存储在硬盘上而是保存在内存里