cookie欺骗

HTTP 协议是 一个无状态 的协议，服务器无法区分出请求是哪个客户端发送的。 需要通过会话控制来解决这个问题，会话控制主要有两种方式 Cookie 和 Session 。 Cookie机制： Cookie 由服务器创建， 会根据响应报文Response Headers 的 Set-Cookie 字段信息，通知客户端保存 Cookie ， 客户端收到 Cookie 以后，会将其自动保存。 在下次向服务器发送请求时会自动将 Cookie 以请求的形式发 出 ， 服务器收到以后就可以检查请求头中的 Cookie 并且可以根据 Cookie 中的信息来识别出不同的用户。 简言之， 服务端通过 Set-Cookie 响应头来向客户端设置 Cookie 。 客户端通过 Cookie 请求头向服务端发送之前存储的 Cookie 数据。 example: 一、第一次发送请求，响应报文Response Headers里面Set-Cookie有如下属性： logcookie=3qjj; expires=Wed, 13-Mar-2019 12:08:53 GMT; Max-Age=31536000; path=/; domain=fafa.com;secure; HttpOnly; 二、再次发送请求时，请求报文里都自动发送Cookie信息了。 Set-cookie:name=name;expires

前言： cookie和session有着千丝万缕的联系，本文将详细介绍2者的区别。 1、存储位置不同 cookie的数据信息存放在客户端浏览器上。 session的数据信息存放在服务器上。 2、存储容量不同 单个cookie保存的数据<=4KB，一个站点最多保存20个Cookie。 对于session来说并没有上限，但出于对服务器端的性能考虑，session内不要存放过多的东西，并且设置session删除机制。 3、存储方式不同 cookie中只能保管ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据。 session中能够存储任何类型的数据，包括且不限于string，integer，list，map等。 4、隐私策略不同 cookie对客户端是可见的，别有用心的人可以分析存放在本地的cookie并进行cookie欺骗，所以它是不安全的。 session存储在服务器上，对客户端是透明对，不存在敏感信息泄漏的风险。 5、有效期上不同 开发可以通过设置cookie的属性，达到使cookie长期有效的效果。 session依赖于名为JSESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session不能达到长期有效的效果。 6、服务器压力不同 cookie保管在客户端

1、什么是 cookie ？ 　　当一个用户访问服务器的时候，服务器会给用户返回一些 name/value 键值对到客户端浏览器上，并将这些数据加上一些限制条件，用户下次访问服务器的时候，数据又并完整的带给服务器。 2、Cookie 怎样设置的？ 　　Cookie 中包含一个由名字 = 值 （name = value）这样的信息构成的任意列表，通过 Set-Cookire 或者 Set-cookie2 HTTP 响应（扩展）首部将其贴的客户端上。 其实这里有一个非常典型的应用，就是关于登录很多网站的账号信息，你让记住密码后，一段时间内，不需要输入密码，每次都是登录状态 3、Cookie 的分类 　　这里 cookie 主要分两类， 　　　　会话Cookie： 不设置过期时间，保存在浏览器的内存中，关闭浏览器，Cookie 自动被销毁 　　　　普通 Cookie： 设置了过期时间，保存在硬盘上 4、Cookie 的属性 　　应为开始的时候 cookie 是网景公司定义的，后来又有了 RFC版本所以当前的 Cookie 由两个版本： 　　　　Version 0 和 Version 1，他们量设置响应头的标识，分别是：Set-Cookie 和 Set-Cookie2，这也就造成一些属性的不同，这里需要注意： 常用的是 Version 　　Version 0 的属性： 　　　　NAME =

协议是什么 在接口测试中。客户端发送的request至服务端反馈的response中传输的数据就是接口测试最重要的部分 Cache是什么 打开浏览器或者应用的实话，用户的等待时间叫做响应时间，打开速度影响到用户体验，提高反应速度的一个方法就是使用缓存策略，缓存策略能带来什么好处呢？ 1.减少延迟：因为网页请求指向的是更接近的客户端缓存，而不是资源服务器，所以花费的时间更短，提高用户体验 2.降低网络负荷：因为缓存可以重复使用，节省带宽，降低网络负荷，也就可以更加节省用户的流量 缓存一般分为以下几种： 1.浏览器缓存　　　　（缓存在本地） 2.代理缓存　　　　　（缓存在网络路由，也就是共享缓存） 3.网关缓存　　　　　 (缓存在CDN) 缓存策略一般分两种情况： 1.强缓存　　　　(直接在本地缓存中读取资源) 2.协商缓存　　 (通过服务器告知是否能用本地缓存，先和服务器协商，如果可以，就从本地缓存中读取。如果不可以，就返回最新的资源) Cookie Cookie的内容是保存一小段文本信息。组成一个通行证，用来处理客户端无状态协议的一种解决方案 Cookie使用原理如下： 1.用户会提供信息提交服务器 2.服务端向客户端回传相应数据的同时，也会发回Cookie 3.客户端接收到服务器相应后，浏览器将Cookie保存在同一个位置 4.客户端向服务端发送请求的实话

1.引言 1.1什么是会话 会话是指一个终端用户（服务器）与交互系统（客户端）进行通讯的过程。 1.2什么是会话跟踪 对同一个用户对服务器的连续的请求和接受响应的监视。（将用户与同一用户发出的不同请求之间关联，为了数据共享） 1.3会话跟踪是干什么的 浏览器与服务器之间的通信是通过HTTP协议进行通信的，因为因特网HTTP协议的特性，每一次来自于用户浏览器的请求（request）都是无状态的、独立的。通俗地说，就是无法保存用户状态，后台服务器根本就不知道当前请求和以前及以后请求是否来自同一用户。对于静态网站，这可能不是个问题，而对于动态网站，尤其是京东、天猫、银行等购物或金融网站，无法识别用户并保持用户状态是致命的，根本就无法提供服务。而会话跟踪正是为了解决这一问题的。 Cookie Cookie是Web服务器发送给客户端的一小段信息，客户端请求时可以读取该信息发送到服务器端，进而进行用户的识别。对于客户端的每次请求，服务器都会将Cookie发送到客户端,在客户端可以进行保存,以便下次使用。 客户端可以采用两种方式来保存这个Cookie对象，一种方式是保存在客户端内存中，称为临时Cookie，浏览器关闭后 这个Cookie对象将消失。另外一种方式是保存在 客户机的磁盘上，称为永久Cookie。以后客户端只要访问该网站，就会将这个Cookie再次发送到服务器上，前提是

HTTP 说一下http和https https的SSL加密是在传输层实现的。 (1)http和https的 基本概念 http: 超文本传输协议，是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 https: 是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 https协议的主要作用是：建立一个信息安全通道，来确保数组的传输，确保网站的真实性。 (2)http和https的 区别 ？ http传输的数据都是未加密的，也就是明文的，网景公司设置了SSL协议来对http协议传输的数据进行加密处理，简单来说 https协议是由http和ssl协议构建的可进行加密传输和身份认证的网络协议 ，比http协议的安全性更高。 主要的区别如下： Https协议需要ca证书，费用较高。 http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。 使用不同的链接方式，端口也不同，一般而言，http协议的端口为80，https的端口为443 http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输

最近项目涉及到安全方面，自己特意了解了一下，记录在此，共同学习。 常见的web安全有以下几个方面 同源策略（Same Origin Policy） 跨站脚本攻击XSS（Cross Site Scripting） 跨站请求伪造CSRF（Cross-site Request Forgery） 点击劫持（Click Jacking） SQL注入（SQL Injection） 同源策略 含义 所谓同源策略，指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 所谓"同源"指的是"三个相同" 协议相同 域名相同 端口相同 举例来说，http://www.example.com/dir/page.html 这个网址，协议是 http:// ，域名是 www.example.com ，端口是 80（默认端口可以省略）。它的同源情况如下 http://www.example.com/dir2/other.html：同源 http://example.com/dir/other.html：不同源（域名不同） http://v2.www.example.com/dir/other.html：不同源（域名不同） http://www.example.com:81/dir/other.html：不同源（端口不同） 目的 同源政策的目的

<script>alert("ddd")</script> 具体来说cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制，他需要用户打开客户端的cookie支持。cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力. 而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。而session提供了方便管理全局变量的方式 session是针对每一个用户的，变量的值保存在服务器上，用一个sessionID来区分是哪个用户session变量,这个值是通过用户的浏览器在访问的时候返回给服务器，当客户禁用cookie时，这个值也可能设置为由get来返回给服务器。 就安全性来说：当你访问一个使用session 的站点，同时在自己机子上建立一个cookie，建议在服务器端的SESSION机制更安全些.因为它不会任意读取客户存储的信息。 正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie 从网络服务器观点看所有HTTP请求都独立于先前请求。就是说每一个HTTP响应完全依赖于相应请求中包含的信息

2、COOKIE COOKIE是大家都非常熟悉的了，通过它可以在客户端保存用户状态，即使用户关闭浏览器也能继续保存。那么客户端与服务器端是如何交换COOKIE信息的呢？没错，也是通过HTTP消息头。首先写一个简单的ASP网页： 1 <% 2 Dim i 3 i = Request.Cookies("key") 4 Response.Write i 5 Response.Cookies("key") = "haha" 6 Response.Cookies("key").Expires = #2007-1-1# 7 %> 第一次访问此网页时，屏幕上一片白，第二次访问时，则会显示出“haha”。通过阅读程序不难发现，屏幕上显示的内容实际上是COOKIE的内容，而第一次访问时还没有设置COOKIE的值，所以不会有显示，第二次显示的是第一次设置的值。那么对应的HTTP消息头应该是什么样的呢？ 第一次请求时没什么不同，略过 第一次返回时消息内容多了下面这一行： Set-Cookie: key=haha; expires=Sun, 31-Dec-2006 16:00:00 GMT; path=/ 很明显，key=haha表示键名为“key”的COOKIE的值为“haha”，后面是这则COOKIE的过期时间，因为我用的中文操作系统的时区是东八区

浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式，可以利用cookie,session等跟服务端进行数据交互。 一、cookie和session cookie和session都是用来跟踪浏览器用户身份的会话方式。 区别： 1、保持状态：cookie保存在 浏览器端 ，session保存在 服务器端 2、使用方式： （1）cookie机制：如果不在浏览器中设置过期时间，cookie被保存在 内存 中，生命周期随浏览器的关闭而结束，这种cookie简称会话cookie。如果在浏览器中设置了cookie的过期时间，cookie被保存在 硬盘 中，关闭浏览器后，cookie数据仍然存在，直到过期时间结束才消失。 Cookie是服务器发给客户端的特殊信息，cookie是以文本的方式保存在客户端，每次请求时都带上它 （2）session机制：当服务器收到请求需要创建session对象时，首先会检查客户端请求中是否包含sessionid。如果有sessionid，服务器将根据该id返回对应session对象。如果客户端请求中没有sessionid，服务器会创建新的session对象，并把sessionid在本次响应中返回给客户端。 通常使用cookie方式存储sessionid到客户端，在交互中浏览器按照规则将sessionid发送给服务器。如果用户禁用cookie，则要使用URL重写