4.3浏览器Cookie机制
文章目录
CSRF攻击
- 4.3浏览器Cookie机制
- CSRF攻击
- Cookie得两种表现形式
- 测试案例
- 案例分析(上一篇CSRF案例)
- 摘抄
- CSRF攻击得前提是用户处于登录状态
- 可能会注意到一个情况,有些网站提供了“记住我”或者是“1个月之内免登录”的 功能
- 毫无疑问,这使用户方便了许多,在登录网站时无须再次输入密码
- 但当攻击者进行CSRF攻击时,用户也更容易中招。
本地Cookie(持久性Cookie)
- 持久型 Cookie是服务器端脚本语言向客户端发送 Cookie时制定了时效
- 也就是 Expire字段,而且会存储于本地
- 当 Expire所制定的时效过期后, Cookie将失效。
临时Cookie(Session Cookie)
- Session Cookie则没有制定 Expire时效
- 是存储在浏览器内存中的,当浏览器关闭后, Session cookie也随之消失。
编写测试代码cookietest.php
访问同域下的页面时:
无论是 Session Cookie
还是本地 Cookie
Cookie将会一起被发送
第一步 登录hello账号 
第二步 查看cookie信息 
第三步 访问hack链接,查看网络状态 
无论你多聪明、多能干、条件有多好, 如果人品不过关, 那么谈什么都没有用。 做人, 永远都是做事的大前提。
