WEB安全实战(四)关于 Cookie
2023-09-14 09:09:01 时间
前言
这几天中,一直再跟漏洞打交道,而在这些漏洞中,出现的最多的就是 Cookie 和 Session 了。这篇文章就简单的介绍一些 Cookie 中最经常使用的四个属性。也算是为兴许的文章做一个铺垫吧。
废话不多说,直接进入正题。
属性
- Path(路径)
Path 是指定与 Cookie 关联的 Web 页。它的值能够是一个文件夹,或者是一个路径。
假设 http://www.china.com/test/index.html 建立了一个 cookie,那么在 http://www.china.com/test/ 文件夹里的全部页面,以及该文件夹以下不论什么子文件夹里的页面都能够訪问这个 cookie 。
这就是说,在 http://www.china.com/test/test2/test3 里的不论什么页面都能够訪问 http://www.china.com/test/index.html 建立的
cookie 。
可是,假设 http://www.china.com/test/ 须要訪问 http://www.china.com/test/index.html 设置的
cookies。该怎么办?
这时。我们要把 cookies 的 path 属性设置成“/”。
在指定路径的时候,凡是来自同一server。URL 里有同样路径的全部 WEB 页面都能够共享 cookies 。
- Domain(域)
Domain 是指定关联的 WEB server或域。
它的值是域名,比方 www.china.com 。这是对 path 路径属性的一个延伸。
假设我们想让 www.china.com 可以訪问 bbs.china.com 设置的 cookies,该怎么办? 我们可以把 Domain 属性设置成“china.com”,并把 path 属性设置成“/”。
- Secure(安全)
Secure 是指定 Cookie 的值通过网络怎样在用户和 WEB server之间传递。
这个属性的值或者是“secure”,或者为空。
缺省情况下,该属性值为空,也就是使用不安全的HTTP连接传递数据。假设一个 cookie 标记为 secure。那么,它与 WEB server之间就通过 HTTPS 或者其他安全协议传递数据。
只是。设置了 secure 属性不代表其他人不能看到你机器本地保存的 cookie 。换句话说。把 cookie 设置为 secure,仅仅保证 cookie 与 WEB server之间的传输数据过程加密,而保存在本地的 cookie 文件并不加密。假设想让本地 cookie 也加密。那就须要自己加密数据了。
- Expires(过期时间)
Expires 是指 Cookie 的生命期,确切地说是过期日期。假设想让 cookie 的存在期限超过当前浏览器的会话时间。就必须使用这个属性。当过了到期日期时。浏览器会自己主动删除 cookie 文件。
结束语
这一篇文章比較短。主要就是介绍一下 Cookie 的四个经常使用属性。并且。这四个属性对于 Web server的安全方面来说还是非常重要的。寻常我们搞开发时,经常会忽略这些“小”东东。
而非常多时候,忽略了这些“小”东东。就会给我们带来意想不到的问题。所以,在这里强调一下,也算是给自己提个醒。
好了。不早了。今天工作也挺累的,就不多说了。早点歇着吧。明天、后天还得加班呢。哎,好好的一个周末。又没了。
相关文章
- 【原创】开源Math.NET基础数学类库使用(14)C#生成安全的随机数
- Web安全之爆破中的验证码识别~
- [Web 安全] WASC 和 OWASP两个web安全方面组织机构介绍
- Java基础_通过模拟售票情景解决线程不安全问题
- WebService基于SoapHeader实现安全认证(一)
- php扩展中如何定义线程安全的全局对象
- JavaWeb学习之Servlet(三)----Servlet的映射匹配问题、线程安全问题
- 当 Kubernetes 遇到机密计算,阿里巴巴如何保护容器内数据的安全?
- [Web安全之实战] 跨站脚本攻击XSS
- Talk In Web Security(安全世界观): Devleping a Secure WebSite
- nginx安全:配置ssl证书(https证书)
- web安全
- Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。
- spring学习 8-面试(事务,解决线程安全)
- @开发者 云端一条生产线,让软件开发更敏捷、更安全
- 【Android 安全】DEX 加密 ( Proguard 简介 | Proguard 相关网址 | Proguard 混淆配置 )
- java通过代码控制线程状态,解决线程不安全的问题。
- 如何学好web安全
- 100集华为HCIE安全培训视频教材整理 | 准入控制功能实现(二)
- 《Web安全渗透全套教程(40集)》学习笔记 | 文件上传漏洞原理及实验
- 中科磐云国赛之Web安全应用全过程解析(保姆级)
- 常见web安全攻防总结
- 猿创征文|docker本地私人仓库快速搭建后的安全优化(用户鉴权和简易的web界面开启)
- MySQL5.7以及之后版本的编译后初始化问题以及安全初始化问题
- WEB漏洞攻防 - SQL注入 - 安全测试思路总结
- 解开Kafka神秘的面纱(二):Kafka的高效读写与消息安全
- 中科磐云国赛之Web安全应用全过程解析(保姆级)