HTTP协议分析——Cookie欺骗

网站登录——身份认证

• 一个页面能否被访问，判断依据是通过存储信息区域中用户的信息来判断的
• 登录页面的作用就是 验证用户输入的用户名+密码的组合是否在数据库中存在。若存在则将信息保存在存储信息的区域，以方便各个页面去判断权限
  

Cookie漏洞——泄漏

由于采用的是http传输，可以通过获取客户端发送给服务端的cookie请求来获取相关的信息，再将cookie请求发送给服务端。

cookie相应的防御

采用HTTPS协议进行传输，使其不能直接获取到cookie信息，或获取到的是经过加密的cookie信息。

Cookie漏洞

通过特殊的方法，即插入一个img指向一个连接，可以使得加密后的HTTPS在传输时变得不安全。

Cookie相应的防御

将Cookie的属性设置为secure属性，此时浏览器传输时，为HTTP传输则不带Cookie进行传输，保证了Cookie传输时的安全性。

Cookie漏洞——缺乏完整性保护

保证了机密性，但仍然缺乏完整性。