浅谈cookie
本人菜鸟一枚,说叉屁了请指正。
1、认识cookie
当年我在学着写网站的时候,尝试着用过cookie,主要是判断当前是哪个用户登录。
看看cookie的官方解释:
Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等,服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。
2、再次认识cookie
登录一些网站时候,发现奇怪的现象,我再X宝上刚看过的包包,竟然在另外一些网站上显示出来了,而且很稳定。
百度之,发现是cookie做的怪。于是我把chrome的cookie设置成了Block third-party cookies and site data。
问题是解决了,但产生副作用了,我登录不了X猫。
以前的思路是,登录X旺,然后自动登录X宝,然后进X猫买东西,结果,这次不行,每次X宝给X猫授权都失败,反复来回跳着。
经过一番折腾,将chrome的cookie设置成Allow local data to be set (recommended),能顺利登录X猫了。
恍然大悟,X猫要么直接用X宝的cookie,要么用X宝的cookie给自己授权。这。。。。cookie劫持的高级利用?自己劫持?
但是,很可恶,我怎么才能按照我的想法,不让其他网站随便动我的cookie!
3、认识cookie劫持
cookie劫持一般是,A用户在WW网站有帐号并且登录了,而B用户再WW网站没有帐号或者权限不高,这时候,B用户偷偷拿走A用户在WW网站的cookie(已经登录的),然后B用A的cookie替换自己的cookie,再打开WW网站,哈,登录了!然后B就去做爱做的事。
还有一种情况,就是其他网站偷偷拿走你的cookie,分析你cookie的记录,然后定向的做一些事情。
到此为止,扫盲文。