• cookie欺骗


    1.什么是cookie欺骗
    改变cookie的值,发给服务器,就是cookie欺骗。
    正常情况下,受浏览器的内部cookie机制所限,每个cookie只能被它的原服务器所访问,我们操作不了原服务器。

    2.cookie使用示例

    index.html 写入cookie {'username':'zhangsan','psw':'123'}

    <!DOCTYPE html>
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
        <title></title>
        <meta charset="utf-8" />
        <script type="text/javascript" src="jquery.min.js"></script>
        <script type="text/javascript" src="jquery.cookie.js"></script>
        <script type="text/javascript">
            $.cookie('username', "zhangsan");
            $.cookie('psw', "123");
        </script>
    </head>
    <body>
    
    </body>
    </html>

    运行index.html,通过Chrome F12开发者工具,可以看到cookie信息。

    可以看到cookie要和domain域名对应。每个cookie只能被对应的域名所访问,其他域名无法访问。

    3.如何进行cookie欺骗

    修改hosts,将域名(dev.test.com)对应的ip转为自己的ip(121.43.113.200),写在自己的ip下修改cookie,会发现域名对应的cookie更改了。
    步骤:
    1)修改host
    121.43.113.200 dev.test.com
    2)将index.html放入服务器121.43.113.200
    3)访问url:dev.test.com/index.html
    4)查看cookie信息

    5)还原host
    #121.43.113.200 dev.test.com
    6)访问url:dev.test.com,会发现dev.test.com中的cookie已被修改。

    4.cookie欺骗防止
    随机码防止cookie欺骗
    原理:在服务端生成唯一随机码,每次提交cookie时带上随机码,和服务端的随机码校验。

  • 相关阅读:
    Learn Orleans 04
    Learn Orleans 03
    Learn Orleans 02
    Learn Orleans 01
    Python 导入 Excel 到数据库
    visio 2016/2019 时序图/序列图,修改消息的实线/虚线 箭头问题 返回消息状态
    steeltoe简单使用
    AOP in .NET
    centos 8 docker安装以及兼容性问题处理
    ef core SoftDelete Multi-tenancy 软删除、多租户实现 Global Query Filters
  • 原文地址:https://www.cnblogs.com/shijingjing07/p/6256622.html
Copyright © 2020-2023  润新知