前言


这几天中,一直再跟漏洞打交道,而在这些漏洞中,出现的最多的就是 Cookie 和 Session 了。这篇文章就简单的介绍一些 Cookie 中最经常使用的四个属性。也算是为兴许的文章做一个铺垫吧。

废话不多说,直接进入正题。



属性


  • Path(路径)

Path 是指定与 Cookie 关联的 Web 页。它的值能够是一个文件夹,或者是一个路径。

假设 http://www.china.com/test/index.html 建立了一个
cookie,那么在 http://www.china.com/test/ 文件夹里的全部页面,以及该文件夹以下不论什么子文件夹里的页面都能够訪问这个 cookie 。

这就是说,在 http://www.china.com/test/test2/test3 里的不论什么页面都能够訪问 http://www.china.com/test/index.html 建立的
cookie 。

可是,假设 http://www.china.com/test/ 须要訪问 http://www.china.com/test/index.html 设置的
cookies。该怎么办?
这时。我们要把 cookies 的 path 属性设置成“/”。

在指定路径的时候,凡是来自同一server。URL 里有同样路径的全部 WEB 页面都能够共享 cookies 。



  • Domain(域)

Domain 是指定关联的 WEB server或域。

它的值是域名,比方 www.china.com 。这是对
path 路径属性的一个延伸。

假设我们想让  www.china.com 可以訪问 bbs.china.com 设置的 cookies,该怎么办? 我们可以把 Domain 属性设置成“china.com”,并把 path 属性设置成“/”。



  • Secure(安全)

Secure 是指定 Cookie 的值通过网络怎样在用户和 WEB server之间传递。

这个属性的值或者是“secure”,或者为空。

缺省情况下,该属性值为空,也就是使用不安全的HTTP连接传递数据。假设一个 cookie 标记为 secure。那么,它与 WEB server之间就通过
HTTPS 或者其他安全协议传递数据。

只是。设置了 secure 属性不代表其他人不能看到你机器本地保存的 cookie 。换句话说。把 cookie 设置为 secure,仅仅保证 cookie 与 WEB server之间的传输数据过程加密,而保存在本地的 cookie 文件并不加密。假设想让本地 cookie 也加密。那就须要自己加密数据了。



  • Expires(过期时间)

Expires 是指 Cookie 的生命期,确切地说是过期日期。假设想让 cookie 的存在期限超过当前浏览器的会话时间。就必须使用这个属性。当过了到期日期时。浏览器会自己主动删除 cookie 文件。



结束语


这一篇文章比較短。主要就是介绍一下 Cookie 的四个经常使用属性。并且。这四个属性对于 Web server的安全方面来说还是非常重要的。寻常我们搞开发时,经常会忽略这些“小”东东。

而非常多时候,忽略了这些“小”东东。就会给我们带来意想不到的问题。所以,在这里强调一下,也算是给自己提个醒。


好了。不早了。今天工作也挺累的,就不多说了。早点歇着吧。明天、后天还得加班呢。哎,好好的一个周末。又没了。



WEB安全实战(四)关于 Cookie的更多相关文章

  1. 手把手和你一起实现一个Web框架实战——EzWeb框架(四)[Go语言笔记]Go项目实战

    手把手和你一起实现一个Web框架实战--EzWeb框架(四)[Go语言笔记]Go项目实战 代码仓库: github gitee 中文注释,非常详尽,可以配合食用 这一篇文章主要实现路由组功能.实现路由 ...

  2. 响应性web设计实战总结

    响应性web设计实战 响应性web设计的理念是:页面的设计与开发应当根据用户行为与设备环境(包括系统平台,屏幕尺寸,屏幕定向等)进行相应的响应及调整.具体的实践方式由多方面组成,包括弹性网格和布局,图 ...

  3. java web 学习十一(使用cookie进行会话管理)

    一.会话的概念 会话可简单理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话. 有状态会话:一个同学来过教室,下次再来教室,我们会知道这个同学曾 ...

  4. Jmeter 接口测试实战-有趣的cookie

    Jmeter 接口测试实战-有趣的cookie 场景: 接口测试时常都需要登录,请求方式(post), 登录常用的方法有通过获取token, 获取session, 获取cookie, 等等. 这几种都 ...

  5. SpringSecurity权限管理系统实战—四、整合SpringSecurity(上)

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  6. 手把手和你一起实现一个Web框架实战——EzWeb框架(五)[Go语言笔记]Go项目实战

    手把手和你一起实现一个Web框架实战--EzWeb框架(五)[Go语言笔记]Go项目实战 代码仓库: github gitee 中文注释,非常详尽,可以配合食用 本篇代码,请选择demo5 中间件实现 ...

  7. java web学习总结(四) -------------------HTTP协议

    一.什么是HTTP协议 HTTP是hypertext transfer protocol(超文本传输协议)的简写,它是TCP/IP协议的一个应用层协议,用于定义WEB浏览器与WEB服务器之间交换数据的 ...

  8. 响应性web设计实战总结(二)

    响应性web设计实战总结(二) 阅读目录 背景知识: Gulp-less安装及配置如下 对响应性web总结,之前总结过2篇文章:可以看如下: http://www.cnblogs.com/tugenh ...

  9. coreseek实战(四):php接口的使用,完善php脚本代码

    coreseek实战(四):php接口的使用,完善php脚本代码 在上一篇文章 coreseeek实战(三)中,已经能够正常搜索到结果,这篇文章主要是把 index.php 文件代码写得相对完整一点点 ...

  10. 《Java web 开发实战经典》读书笔记

    去年年末,也就是大四上学期快要结束的时候,当时保研的事情确定了下来,终于有了一些空闲的时间可以学点实用的技术. 之前做数据库课程设计的时候,也接触过java web的知识,当时做了一个卖二手书籍的网站 ...

随机推荐

  1. JavaSE-20 IO序列化

    学习要点 定义 IO如何序列化 序列化 序列化:是将对象的状态存储到特定存储介质中的过程. 反序列化:从特定存储介质中的数据重新构建对象的过程. 实现了java.io.Serializable接口的类 ...

  2. swiper实现响应式全屏自动轮播

    html: <!--轮播 --> <div class="Excellent_swi"> <div class="swiper-contai ...

  3. [模板] Splay

    欠了好久的Splay,以后就它了. 默写真不容易,过几天估计就忘了.. 整个Splay真的精妙,不拖泥带水那种.. 前驱后继之所以不能用rk转到根,是因为这个数不一定存在.. kth中<=老忘记 ...

  4. [模板] Treap

    插入x 删除x 查询排名为x的数 查询x的排名 求x的前驱.后继 //Stay foolish,stay hungry,stay young,stay simple #include<iostr ...

  5. jenkins构建项目记录1

    jenkins安装见上篇随笔 1.新建任务 2.构建一个自由风格的软件项目 3.源码管理设置 4.构建环境 5.构建 6.构建后操作

  6. xshell连接不了虚拟机处理方法(错误提示:Connection closing...Socket close.Connection closed by foreign host.Disconnected from remote host(localhost) at 08:47:23.)

    一.问题描述:xshell连接不了虚拟机,出现错误提示:Connection closing...Socket close.Connection closed by foreign host.Disc ...

  7. Python之数字

    Python之数字 int(数字)===>在Python3中,int没有范围,在Python2中,int超出范围就叫长整型(Long). 浮点运算:单精度 float 双精度 double a: ...

  8. SQL-如何使用 MongoDB和PyMongo。

    先决条件 在开始之前,请确保已经安装了 PyMongo 发行版. 在 Python shell 中,下面的代码应该在不引发异常的情况下运行: >>> import pymongo 假 ...

  9. 集训第五周 动态规划 B题LIS

      Time Limit:1000MS     Memory Limit:32768KB     64bit IO Format:%I64d & %I64u Submit Status Des ...

  10. IntelliJ IDEA 13.1.1版本偶然的错误

    总之很悲催也很浪费时间,这款软件很喜欢,不想卸载 图片中的style.css使得style.css一直是文本形式 将style.css删除就恢复正常了,这个错误弄了半天才搞定,心累.