安全基础 --- https详解(02)、cookie和session、同源和跨域

https详解(02)--- 数据包扩展

  • Request --- 请求数据包
  • Response --- 返回数据包

若出现代理则如下图:


Proxy --- 代理服务器

(1)http和https的区别

  • http明文传输,数据未加密;
  • http页面响应速度比https快;
  • 不同的连接方式,用的端口不同;
  • 使用https协议需要申请CA证书,SSL协议

(2)https通信过程


建立连接 --》发送请求数据包 --》返回响应数据包 --》关闭连接

流程:

  1. 浏览器建立与web服务器之间的连接
  2. 浏览器将请求数据打包(生成请求数据包)并发送到web服务器
  3. web服务器将处理结果打包(生成响应数据包)并发送给浏览器
  4. web服务器关闭连接

(3)request数据包的数据格式

http请求报文由四个部分组成:请求行、请求头、空行和请求数据

<1> 请求行:

请求类型/请求资源路径、协议的版本和类型

请求行有三个标记组成:请求方法、请求URL和HTTP版本,用空格分隔

例:GET /index.html HTTP/1.1

http规划了8种可能的请求方法:

  • GET:检索URL中标识资源的一个简单请求
  • HEAD:与GET方法相同,服务器只返回状态行和头标,并不返回请求文档
  • POST:服务器接受被写入客户端输出流中数据的请求
  • PUT:服务器保存请求数据作为指定URL新内容的请求
  • DELETE:服务器删除URL中命令的资源的请求
  • OPTIONS:关于服务器支持的请求方法信息的请求
  • TRACE:web服务器反馈HTTP请求和其头标的请求
  • CONNECT:已文档化,但目前未实现的一个方法,预留做隧道处理

<3> 请求头:

关键字/值对组成,每行一对,关键字和值用冒号分享

  • HOST:主机或域名地址
  • Accept:浏览器或其他客户可以接受的MIME文件格式,servlet可以根据它判断并返回适当的文件格式
  • User-Agent:客户浏览器名称
  • Host:对应网址URL中的web名称和端口号
  • Accept-Language:指出浏览器可接受的语言种类,比如:en或者en-us,指英语
  • connection:用来告诉服务器是否可以维持固定的HTTP连接、http是无连接的,HTTP/1.1使用Keep-Alive为默认值,这样当浏览器需要多个文件时(比如html文件),不需要每次都建立连接
  • Cookie:浏览器用这个属性向服务器发送cookie。Cookie是在浏览器中寄存的小型数据体,可记载服务器相关用户信息,也可实现会话功能
  • Referer:表明产生请求的网页URL,可跟踪web请求是从什么网站来的。比如从网页/icconcept/index.jsp中点击链接到网页/icwork/search中的请求中,Referer是http://hostname:8080/icconcept/index.jsp
  • Content-Type:表明request的内容类型,可以用HttpServletRequest的getContentType()方法取得
  • Accept-Charset:浏览器可接受的字符编码
  • Accept-Encoding:指出浏览器可接受的编码方式。编码方式不同于文件格式,为了压缩文件传递速度。浏览器接收到web响应之后在解码,然后检查文件格式。

<3> 空行:

请求头和请求体之间用一个空行隔开

最后一个请求头标之后是空行,发送回车符和退行,通知服务器以下不再有头标。

<4> 请求数据:

POST传送,最常使用的是Content-Type和Content-Length头标

(4)Response返回数据包格式

一个响应由四部分组成:状态行、响应头标、空行、响应数据

<1> 状态行:

协议版本,数字形式的状态代码和状态描述,各元素之间用空格进行分割

http响应码:

  • 1xx:请求收到,继续处理
  • 2xx:成功,行为被成功接受,理解和采纳
  • 3xx:重定向,为了完成请求,必须进一步执行动作
  • 4xx:客户端错误
  • 5xx:服务器错误

200:存在文件

403:存在文件夹

3xx:均可能存在,可能在其他路径

404:不存在文件及文件夹

500:均可能存在,服务器响应失败,不代表不存在

<2> 响应头标:

包含服务器类型,日期,长度和内容类型等

与请求头标相同,指出功能,标出响应数据的细节

<3> 空行:

响应头与响应体之间用空行隔开

最后一个响应头标是空行,发送回车符和退行,表面服务器以下不再有头标

<4> 响应数据:

浏览器将实体内容中的数据取出来,生成相应的页面

HTML文档和图像等,也是html本身

例:修改表头,请求失败


数据是与网站进行交互的工具,通过修改进行伪造

cookie和session

(1)区别 --- 面试常考

  • cookie可以存储在浏览器或者本地,session只能存在服务器
  • session能够存储任意java对象,cookie只能存储string类型的对象
  • session比cookie更具安全性(cookie有安全隐患,通过拦截本地文件找到cookie可进行攻击)
  • session占用服务器性能,session过多会增加服务器压力
  • 单个cookie保存的数据不能超过4k,大部分浏览器限制保存20个cookie;session无大小限制,与服务器内存大小有关

(2)cookie

工作原理:

<1> 定义:

类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。

<2> cookie出现的原因:

web程序是使用HTTP协议传输的,而HTTP协议是无状态的协议,对于事务处理没有记忆能力。

缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。

cookie的出现就是为了解决这个问题

  • 第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器,服务器通过浏览器携带的数据就能判断当前用户是哪个了

<3> 特点:

  • cookie存储的数据量有限,不同浏览器有不同的存储大小,一般不超过4kb。
  • cookie相当于通行证,无论谁访问需携带自己的通行证,服务器可从通行证确认用户身份,这就是cookie的工作原理

<4> cookie的保存:

两种保存方式:一种是浏览器将cookie保存在内存中,另一种是保存在客户端的硬盘中。之后每次HTTP请求,浏览器都会将cookie发送给服务器端

<5> cookie的生存周期:

Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期。在这个周期内Cookie有效,超出周期Cookie就会被清除

PS:有些页面将Cookie的生存周期设置为“0”或负值,这样在关闭浏览器时,就马上清除Cookie,不会记录用户信息,更加安全。

<6> 缺点:

  • 数量受到限制;一个浏览器能创建的 Cookie 数量最多为 300 个,并且每个不能超过 4KB,每个 Web 站点能设置的Cookie 总数不能超过 20 个
  • 安全性无法得到保障;通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器(如:AJAX)。一旦 Cookie 落入攻击者手中,它将会重现其价值。
  • 浏览器可以禁用Cookie

<7> 应用场景

(3)session

工作原理:

<1> 定义:

在计算机中,尤其是在网络应用中,session被称为“会话控制”。是服务器为了保存用户状态而创建的一个特殊的对象

<2> 原理:

  • 用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。
  • 当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。

  • 服务器会向客户浏览器发送一个每个用户特有的会话编号sessionID,让他进入到cookie里。

  • 服务器同时也把sessionID和对应的用户信息、用户操作记录在服务器上,这些记录就是session。再次访问时会带入会发送cookie给服务器,其中就包含sessionID。


  • 服务器从cookie里找到sessionID,再根据sessionID找到以前记录的用户信息就可以知道他之前操控些、访问过哪里。

<3> session的生命周期:

根据需求设定,一般来说,半小时。

例:登录一个服务器,服务器返回给你一个sessionID,登录成功之后的半小时之内没有对该服务器进行任何HTTP请求,半小时后你进行一次HTTP请求,会提示你重新登录。

同源和跨域

(1)同源

<1> 定义:

同源指的是:协议、地址、端口三者都相同

例:

127.0.0.1:8083/index.html
127.0.0.1:8083/add.html
以上情况可说明ajax请求地址与当前url同源

<2> 如果非同源:

会有以下三个方面的行为受到限制:

  1. DOM:如果非同源,其 JS 脚本,不能互相对 DOM 进行读写操作
  2. 数据:如果非同源,不能互相读写 Cookies、LocalStorage、SessionStorage 和 IndexedDB
  3. 网络请求:如果非同源,不能通过 AJAX 的方式互相发送、接收数据

(2)跨域

<1> 定义:

跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。

<2> 跨域的限制流程:

同源策略,它是由Netscape提出的一个著名的安全策略。
所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。 
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。

如上图所示,跨域访问限制的作用流程大致如下:

  1. 浏览器发送跨域请求
  2. 接收response数据
  3. 检查响应头

如果响应头中没有允许跨域访问的配置,则不加载,并报出响应异常
如果响应头中有允许跨域访问的设置,正常加载数据

同源策略并不是浏览器不让请求发出去、或者后端拒绝返回数据。实际情况是请求正常发出去了,后端也正常相应了,只不过数据到了浏览器后浏览器不去作用加载而是丢弃了。

(3)如何实现跨域访问?

<1> JSONP

原理:通过动态创建<script>标签,将跨域请求转换为同域请求,script标签的src属性发送的请求没有跨域的限制。

工作流程:

  • 原生中

        (1)在script标签的src属性发送请求
        (2)在url后方添加callback参数,参数值为函数名
        (3)服务器响应,调用函数

前端部分原生写法
<script>function success(backData) {console.log(backData)}
</script>
<script src="http://127.0.0.1:3000/jsonp?callback=success"></script>
  • jquery中

        (1)在head标签中动态生成script标签,使用src属性发送请求
        (2)服务器响应回来之后,动态移出script标签

前端部分jquery写法
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/1.12.4/jquery.min.js"></script><button>jsonp</button><script>$('button').click(function () {$.ajax({// 请求地址url: 'http://127.0.0.1:3000/jsonp',// 设置jsonp请求dataType: 'jsonp',success (backData) {console.log('backData:', backData)}})})</script>
  • 后端部分
// 导入express
const express = require('express')
// 创建服务器对象
const app = express()
// 设置端口
const port = 3000// 注册路由
app.get('/jsonp', (req, res) => {// 获取get请求的参数const { callback } = req.query// 返回数据res.send(callback + '({name:"张三"})')
})// 开启服务器监听
app.listen(port, () => {console.log('服务器启动成功,端口为:', port)
})

<2> CORS(Cross-Origin Resource  Sharing)跨域资源共享机制

原理:在服务器端设置响应头,允许指定的域名或所有域名访问资源。

CORS 是w3c标准的方式,通过在web服务器端设置:响应头Access-Cntrol-Alow-Origin 来指定哪些域可以访问本域的数据,ie8&9(XDomainRequest),10+,chrom4,firefox3.5,safair4,opera12支持这种方式。

// 允许的域名
response.setHeader("Access-Control-Allow-Origin","http://google.com")
// 允许的 header
response.setHeader("Access-Control-Allow-Headers","X-Request-Width")
// 允许的方法
response.setHeader("Access-Control-Allow-Methods","PUT,POST,GET,DELETE,OPTIONS")
// 是否接收跨域的 cookie
response.setHeader("Access-Control-Allow-Credentials","true")

CORS 技术核心就是设置 response header,分为简单请求复杂请求两种:

  • 简单请求只需要设置Access-Control-Allow-Origin: 目标源即可
  • 复杂请求则分两步
    • 第一步是浏览器发起 OPTIONS 请求,查找跨域支持的请求方法
    • 第二步才是发送真实请求

<3> Vue中设置跨域代理

// 脚手架设置跨域代理
//vue-cli3.0 里面的 vue.config.js做配置
module.exports = {devServer: {proxy: {'/public': {//这里最好有一个 /target: 'http://127.0.0.1/xxx/public', // 后台接口域名secure: false, // 如果是https接口,需要配置这个参数changeOrigin: true, //是否跨域pathRewrite: {'/public': ''}}}}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/114420.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

FreeSWITCH 1.10.10 简单图形化界面3 - 阿里云NAT设置

FreeSWITCH 1.10.10 简单图形化界面3 - 阿里云NAT设置 0、 界面预览1、 查看IP地址2、 修改协议配置3、 开放阿里云安全组4、 设置ACL5、 设置协议中ACL&#xff0c;让PBX匹配内外网6、 重新加载SIP模块7、 查看状态8、 测试一下 0、 界面预览 http://myfs.f3322.net:8020/ 用…

2023年腾讯云优惠券(代金券)领取方法整理汇总

腾讯云优惠券是腾讯云为了吸引用户而推出的一种优惠凭证&#xff0c;领券之后新购、续费、升级腾讯云的相关产品可以享受优惠&#xff0c;从而节省一点的费用&#xff0c;下面给大家分享腾讯云优惠券领取的几种方法。 一、腾讯云官网领券页面领取 腾讯云官网经常推出各种优惠活…

软件测试/测试开发丨Selenium 高级定位 Xpath

点此获取更多相关资料 本文为霍格沃兹测试开发学社学员学习笔记分享 原文链接&#xff1a;https://ceshiren.com/t/topic/27036 一、xpath 基本概念 XPATH是一门在XML文档中查找信息的语言 XPATH使用路径表达式在XML文档中进行导航 XPATH的应用非常广泛&#xff0c;可以用于UI自…

Unity3D 连接 SQLite 作为数据库基础功能【详细图文教程】

一、简单介绍一下SQLite的优势&#xff08;来自ChatGPT&#xff09; 轻量级: SQLite是一个嵌入式数据库引擎&#xff0c;它的库文件非常小巧&#xff0c;没有独立的服务器进程&#xff0c;适用于嵌入到其他应用程序中&#xff0c;对于轻量级的项目或移动应用程序非常适用。零配…

基于java swing和mysql实现的电影票购票管理系统(源码+数据库+运行指导视频)

一、项目简介 本项目是一套基于java swing和mysql实现的电影票购票管理系统&#xff0c;主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Java学习者。 包含&#xff1a;项目源码、项目文档、数据库脚本等&#xff0c;该项目附带全部源码可作为毕设使用。 项目都…

金融帝国实验室(Capitalism Lab)官方正版游戏『2023秋季特卖』

「金融帝国实验室」&#xff08;Capitalism Lab&#xff09;Enlight 官方正版游戏「2023秋季特卖」 ■时间&#xff1a;2023.09.01&#xff5e;2023.10.15 ■游戏开发商&#xff1a;Enlight Software Ltd. 请您认准以下官方正版游戏购买链接&#xff1a;支持“支付宝&a…

环境安装:rpm安装jdk上线项目

Tomcat安装 解析域名 购买域名并配置 安装Docker yum 卸载以前装过的docker

Orchestrator介绍三 命令行工具

Orchestrator-client orchestrator 支持两种方式通过命令行操作&#xff1a; 一种是 通过命令 orchestrator&#xff1a; 需要在服务器上安装 orchestrator&#xff0c;但是可以不作为服务启动。 需要配置orchestrator的文件&#xff0c;以便能够连接后端数据库 一种是通过…

Navicat使用HTTP通道服务器进行连接mysql数据库(超简单三分钟完成),centos安装nginx和php,docker安装nginx+php合并版

序言 因为数据库服务器在外网是不能直接连接访问的&#xff0c;但是可以访问网站&#xff0c;网站后台就能访问数据库&#xff0c;所以在此之前&#xff0c;访问数据库的数据是一件非常麻烦的事情&#xff0c;在平时和运维的交流中发现&#xff0c;他们会使用ssh通道进行连接访…

C++的基类和派生类构造函数

基类的成员函数可以被继承&#xff0c;可以通过派生类的对象访问&#xff0c;但这仅仅指的是普通的成员函数&#xff0c;类的构造函数不能被继承。构造函数不能被继承是有道理的&#xff0c;因为即使继承了&#xff0c;它的名字和派生类的名字也不一样&#xff0c;不能成为派生…

C#,数值计算——Midinf的计算方法与源程序

1 文本格式 using System; namespace Legalsoft.Truffer { public class Midinf : Midpnt { public new double func(double x) { return funk.funk(1.0 / x) / (x * x); } public Midinf(UniVarRealValueFun funcc, double aa,…

查询优化器内核剖析第一篇

SQL Server 的查询优化器是一个基于成本的优化器。它为一个给定的查询分析出很多的候 选的查询计划&#xff0c;并且估算每个候选计划的成本&#xff0c;从而选择一个成本最低的计划进行执行。实际上&#xff0c; 因为查询优化器不可能对每一个产生的候选计划进行优化&#xff…

IDEA集成Git相关操作知识(pull、push、clone)

一&#xff1a;集成git 1&#xff1a;初始化git&#xff08;新版本默认初始化&#xff09; 老版本若没有&#xff0c;点击VCS&#xff0c;选中import into Version Controller中的Create git Repository(创建git仓库)&#xff0c;同理即可出现git符号。 也可查看源文件夹有没有…

【力扣每日一题】2023.8.30 到家的最少跳跃次数

目录 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 代码&#xff1a; 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 题目给我们一只跳蚤&#xff0c;我们可以操控它前跳 a 格或是后跳 b 格&#xff0c;不能跳到小于0的位置&#xff0c;有一些被禁止的点不…

系统架构设计高级技能 · Web架构

现在的一切都是为将来的梦想编织翅膀&#xff0c;让梦想在现实中展翅高飞。 Now everything is for the future of dream weaving wings, let the dream fly in reality. 点击进入系列文章目录 系统架构设计高级技能 Web架构 一、Web架构介绍1.1 Web架构涉及技术1.2 单台服务…

【JAVA】什么是异常

⭐ 作者&#xff1a;小胡_不糊涂 &#x1f331; 作者主页&#xff1a;小胡_不糊涂的个人主页 &#x1f4c0; 收录专栏&#xff1a;浅谈Java &#x1f496; 持续更文&#xff0c;关注博主少走弯路&#xff0c;谢谢大家支持 &#x1f496; 异常 1. 什么是异常1.1 概念1.2 异常的体…

函数名称add 与 add 作为参数传入的区别与探讨

在C和C中&#xff0c;函数名本身就是一个指向该函数代码的指针。因此&#xff0c;当你以函数名作为参数传递给其他函数时&#xff0c;实际上你传递的是该函数的地址。 对于你的代码&#xff0c;add是一个函数&#xff0c;&add是该函数的地址。由于add本身就代表了函数的地…

深圳产品展示视频拍摄一站式服务

产品展示视频拍摄一站式服务是指一家专业的拍摄制作公司或团队提供从策划、拍摄到后期制作的全方位服务&#xff0c;以满足客户的产品展示需求。这种服务通常包括以下方面&#xff0c;由产品展示视频制作公司老友记小编从以下几个方面为您整理&#xff1a; 1.策划和预制阶段&a…

RSA算法与错误敏感攻击

参见《RSA 算法的错误敏感攻击研究与实践》 RSA 算法简介 RSA 算法原理&#xff1a; 1&#xff09; RSA 算法密钥产生过程 &#xff08;1&#xff09;系统随机产生两个大素数 p p p 和 q q q&#xff0c;对这两个数据保密&#xff1b; &#xff08;2&#xff09;计算 n p …

小米面试题——不用加减乘除计算两数之和

前言 &#xff08;1&#xff09;刷B站看到一个面试题&#xff0c;不用加减乘除计算两数之和。 &#xff08;2&#xff09;当时我看到这个题目&#xff0c;第一反应就是感觉这是一个数电题目。不过需要采用C语言的方式编写出来。 &#xff08;3&#xff09;不过看到大佬的代码之…