cookie欺骗

文章目录 一、cookie和session 1.产生的缘由 2.cookie和session存放位置 3. cookie ① cookie定义 ② cookie的分类 ③ cookie的组成（属性） ④ cookie被用户禁用，如何使用session？ ⑤ 常见误区 4. session ① session的由来 ② session的定义 ③ session流程 ④ session失效时间 5. session和cookie的区别 二、使用cookie或session登录 1. 爬虫中登录的实现方法 2. 使用cookie登录的两种方法 ① 直接放在headers头部中 ② 使用requests插入Cookie 3. 使用session登录 三、代理的设置 1. 代理的基本原理 2. 代理的作用 3. 代理的分类 ① 根据协议来区分 ② 根据匿名程度来区分 ③ 在requests中如何设置代理 一、cookie和session 1.产生的缘由 Http有个特点，即无状态。Http无状态是指Http协议对事务处理没有记忆能力，当我们向服务器发送请求后，服务器处理请求之后返回结果。这是一个独立的过程，再次向服务器发出请求，服务器做出响应又是一次独立的过程，服务器不会记录前后状态变化。因此，服务器并不知道收到的两次请求是否来自同一个用户。这种效果并不是我们想要的。为了保持前后的状态

cookie与session简述 cookie: 当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择，都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie里的内容来判断使用者，送出特定的网页内容给你。 session: 由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。本地cookie保存的是session_id，session_id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串。session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用cookie cookie 和session 的区别： 1、cookie数据存放在客户的浏览器上，session数据放在服务器上 2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，使用session是一种安全的做法 3、session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息

cookie cookie是在客户端运作的（浏览器） cookie是客户端保存用户信息的机制，用来记录用户的一些信息。每次HTTP请求时客户端都会发送相应的cookie 到服务端，过期时间可以任意设置，如果不清除，在很长一段时间都会保留，即便把电脑关机了 session session是在服务器端运作的（） session是服务器端使用的一种记录客户端的机制，使用上比cookie简单一些同一个客户端和服务端交互时，不需要每次 都传回cookie值，而是只要传回一个ID，这个ID客户端第一次访问服务器的时候生成的，而且每个客户端都是唯一的。这样每个客户端都有了一个唯一的ID，客户端只要传回这个ID就行了，这个ID通常是name为jsesionid的一个cookie。session是依据这个ID来识别是否为同一个用户（只认ID不认人） 共同点： session和cookie的共同点：记录用户状态 cookie是记录在浏览器上面的 session是记录在服务器上的 http的cookie和session都可以是伪造的 cookie的内容主要包括：名字，值，过期时间，路径和域。 看到一个cookie，至少知道cookie这6个字段分别是什么？ name：cookie的名字 value:cookie的值 domain：cookie的作用域 path：cookie使用的路径 secure:

JSP 中动态 include 与静态 include 的区别？ 动态 include 用 jsp:include.../ 动作指令实现，适合用于包含动态页面，并且可以带参数。动态 include 不会导入被 include 页面的编译指令，仅仅将被导入页面的 body 内容插入本页面。 静态 include 用<%@ include file=included.htm %>编译指令实现。 静态导入和动态导入有如下三点区别： 静态导入是将被导入页面的代码完全融入，两个页面融合成一个整体 Servlet；而动态导入则在 Servlet 中使用 include 方法来引入被导入页面的内容。 静态导入时被导入页面的编译指令会起作用；而动态导入时被导入页面的编译指令则失去作用， 只是插入被导入页面的 body 内容。 动态包含还可以增加额外的参数。 JSP 有哪些动作指令？ JSP 动作指令主要有如下 7 个： jsp:forward：执行页面转向，将请求的处理转发到下一个页面。 jsp:param：用于传递参数，必须与其他支持参数的标签一起使用。 jsp:include：用于动态包含一个 JSP 页面。 jsp:plugin：用于下载 JavaBean 或 Applet 到客户端执行。 jsp:useBean：创建一个 JavaBean 的实例。 jsp:setProperty：设置

@WebServlet("/reply") public class ReplyServlet extends HttpServlet { @Override protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //设置编码 req.setCharacterEncoding("UTF-8"); resp.setContentType("text/html;charset=UTF-8"); //创建session对象 HttpSession session = req.getSession(); List<Reply> list = (List<Reply>) session.getAttribute("list"); //判断session中有没有数据 有的话直接跳转 没的话查数据库 if (list==null){ //连接业务层 QuaryServiceImp quaryServiceImp = new QuaryServiceImp(); List<Reply> replies = quaryServiceImp.quaryAll(); session.setAttribute("list",

会话技术 　　所谓的会话过程就是指从打开浏览器到关闭浏览器的过程。 　　一次会话： 打开浏览器 -> 访问一些服务器内容 -> 关闭浏览器。 　　 cookie技术 ：是有web服务器保存在用户浏览器（客户端）上 　　 session技术 ：是将数据保存到服务器端，session技术的实现依赖于cookie技术 Cookie技术 （不能存中文） 　　在购物网站上去买一件上衣，这个时候就会把上衣这个对象存入的开辟的Cookie空间中， Cookie空间为此对象绑定一个唯一的标识然后以响应头方式返回给客户端，当再去购买裤子的时候会带着这个唯一标识以请求头的方式存入到Cookie空间中，同时为它绑定唯一的标识。因为Cookie域保存在自己浏览器内部，与别人互不干扰，但因为是客户端技术，所以安全性不高。具体如下图所示： 　　 　　 发送cookie常用方法 　　　　1.设置cookie持久化存储时间：setMaxAge(40)；单位为s/秒 　　　　2.设置cookie携带路径：setPath("/WEB05/SendCookieServlet"); 　　　　3.发送cookie：response.addCookie(cookie); 　　 获取cookie方法 　　　　一般步骤为： 　　　　　　1..获取请求中所有的cookie所在的数组 　　　　　　2

express github地址： https://github.com/expressjs/express 文档地址： http://expressjs.com/en/4x/api.html#router https://www.expressjiaocheng.com/doc-x4.html#app express 的几大模块： express()、Application、Request、Response、Router 英语官网: http://expressj s. com/ 中文官网: http://www.expressj s.com.cn/ ht t p: //www. expressjiaocheng . com ********安装express********** 1.cd到项目里 2.创建package.json: npm init --yes package.json说明 https://blog.csdn.net/zmrdlb/article/details/53190696 3.安装 Express 框架，npm install express --save --save 参数表示吧express模块写到package.json 中，表示自动修改 package.json 文件，自动添加依赖项。 *****动态路由： 浏览器请求：http://192

安全问题的分类 按照所发生的区域分类 后端安全问题：所有发生在后端服务器、应用、服务当中的安全问题 前端安全问题：所有发生在浏览器、单页面应用、Web页面当中的安全问题 按照团队中哪个角色最适合来修复安全问题分类 后端安全问题：针对这个安全问题，后端最适合来修复 前端安全问题：针对这个安全问题，前端最适合来修复 综合以上 前端安全问题：发生在浏览器、前端应用当中或者通常由前端开发工程师来对其进行修复的安全问题 浏览器安全 同源策略 是一种约定，是浏览器最核心也最基本的安全功能，限制了来自不同源的document或者脚本，对当前document读取或设置某些属性 影响“源”的因素有：host（域名或者IP地址）、子域名、端口、协议 对浏览器来说，DOM、Cookie、XMLHttpRequest会受到同源策略的限制 不受同源策略的标签 <script>、<img>、<iframe>、<link> 等标签都可以跨域加载资源，而不受同源策略的限制 这些带"src"属性的标签每次加载时，浏览器会发起一次GET请求 通过src属性加载的资源，浏览器限制了javascript的权限，使其不能读、写返回的内容 三大前端安全问题 1、跨站脚本攻击（XSS） 定义 英文全称：Cross Site Script，XSS攻击，通常指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本

这些都是基础知识，不过有必要做深入了解。先简单介绍一下。 二者的定义： 当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择， 都纪录下来。当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的 Cookie 资料，有的话，就会依据 Cookie 里的内容来判断使用者，送出特定的网页内容给你。 Cookie 的使用很普遍，许多有提供个人化服务的网站，都是利用 Cookie 来辨认使用者，以方便送出使用者量身定做的内容，像是 Web 接口的免费 email 网站，都要用到 Cookie。 具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。 同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制 来达到保存标识的目的，但实际上它还有其他选择。 cookie机制。正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示 浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用 是由浏览器按照一定的原则在后台自动发送给服务器的

莫名其妙的一段。。。。解码试试。。。 解不出来 抓包试试 无果。。。 观察 url ，发现有一个文件检索，然后 = 了一串代码，有 . 像 base64 ，试试 解出来是 kes.txt 。。。 试试 index.php 什么都没有。。。 Base64 加密的 index.php 试试 也什么都没用。。。。 观察到 url 中还有一个 line 参数，尝试赋值 似乎是源码的首段，试试赋值其他数字 逐步得到源码 分析源码，发现如果存在 cookie[‘margin’] 并且等于 margin 就让一个参数等于 keys.php 不多说直接试试 我们同样的 base64 编码 keys.php 然后加一个 cookie 刷新 没东西。。。。查看源码和抓包发现 flag 来源： https://www.cnblogs.com/wosun/p/11894779.html