cookie与session的疑惑解决办法
日期:2014-05-18 浏览次数:20637 次
cookie与session的疑惑
1、对于含有跨站漏洞的站点来说,输入 <script> alert(document.cookie) </script> ——这显示出来的到底是cookie还是session???按“document.cookie”的语法来看显示的是cookie,但是实际显示的怎么还有sessionid而且我的硬盘上也没有cookie文件??
2、如果攻击者要利用这种跨站漏洞,在窃取到其他人的document.cookie这个变量之后如何进行欺骗??——这种欺骗是cookie欺骗还是session欺骗??
------解决方案--------------------
session是基于cookie的。cookie只在本地硬盘存在,而session,客户端和服务器都存在,以id关联。
1、对于含有跨站漏洞的站点来说,输入 <script> alert(document.cookie) </script> ——这显示出来的到底是cookie还是session???按“document.cookie”的语法来看显示的是cookie,但是实际显示的怎么还有sessionid而且我的硬盘上也没有cookie文件??
2、如果攻击者要利用这种跨站漏洞,在窃取到其他人的document.cookie这个变量之后如何进行欺骗??——这种欺骗是cookie欺骗还是session欺骗??
------解决方案--------------------
session是基于cookie的。cookie只在本地硬盘存在,而session,客户端和服务器都存在,以id关联。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
