cookie和session的关系。

zxq997

2018-10-26 阅读量: 849

cookie和session的关系。

1.cookie保存在浏览器端，session保存在服务器端，但是为了区分不同的客户端，服务器会在浏览器中发送一个对应的sessionid保存到cookies中，下次浏览器请求服务器的时候会将sessionid一并发送给服务器。所以session机制依赖于cookie机制。

csrf攻击：cross site request forgery 跨站请求伪造

原理：

1.User(C)访问信任网站Web(A)，Web(A)会在User(C)处设置A的cookie；

2.User(C) 在没有登录A的情况下,访问危险网站Web(B),B要求User(C)访问Web(A);

3.User(C)在Web(B)的要求下，带着Web(A)的cookie访问Web(A)，这样Web(B)就达到了模拟用户操作的目的.

防御：

1.通过 referer、token 或者验证码来检测用户提交。

2.尽量不要在页面的链接中暴露用户隐私信息。

3.对于用户修改删除等操作最好都使用post 操作。

4.避免全站通用的cookie，严格设置cookie的域。

7.7801

关注作者

发表评论

暂无数据

CDA考试动态

CDA报考指南

推荐帖子