XSS学习2
一、客户端的Cookie
1. 无状态的影响
- 无状态问题: HTTP协议的无状态特性导致每次请求都是独立的,无法保持会话。例如,在银行办理业务时,柜员不需要重复询问客户信息,但在计算机网络中,每次HTTP请求都需要重新认证用户身份。
2. Cookie内容
- Cookie格式: Cookie内容以key/value格式存储,如name=wuya、id=99、islogin=1。
3. Cookie产生
1)浏览器清除cookie
- 清除Cookie: 通过浏览器设置(如Ctrl+Shift+Delete)可以清除之前保存的Cookie,确保下一次访问为首次访问状态。
2)百度网站cookie设置
- 首次访问: 清除Cookie后,首次访问百度会收到服务端下发的身份标记字段,通过Set-Cookie字段设置。
3)浏览器查看cookie
- 查看Cookie: 在浏览器存储标签或锁形标志处可以查看服务端下发的Cookie及其属性,如名称、值、域名、路径、过期时间等。
4)谷歌浏览器cookie存储位置
- 存储位置: 谷歌浏览器将Cookie保存在特定路径下的文件中,如C:\Users\<用户名>\AppData\Local\Google\Chrome\User Data\Default\Cookies。
4. Cookie特点
- 明文: Cookie内容以明文形式存储,不包含机密信息如用户密码。
- 可修改: 浏览器本地保存的Cookie可以任意修改,但需注意修改后的影响。
- 大小受限: 不同浏览器对Cookie数量和大小有限制,如每个域名最多保存50个Cookie,每个Cookie大小不超过4096字节。
5. Cookie用途
- 记住登录状态: 实现免登录功能,如七天免登录、一个月免登录。
- 跟踪用户行为: 用于记录用户访问量、购买历史、浏览历史等,进行精准广告推送。
6. Cookie允许
- 用户允许: 网站使用Cookie需经过用户允许,国外网站通常会有明确询问,国内网站则较少见。用户可选择是否允许Cookie以控制广告推送和网站功能。
二、知识小结
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
| HTTP无状态特性 | HTTP协议是无状态的,每次请求都是独立的,服务端不会保留客户端的状态信息。 | 理解无状态的含义,以及它带来的问题(如需要重复登录)。 | 🌟 |
| Cookie的诞生与作用 | Cookie用于解决HTTP无状态带来的问题,通过在客户端保存身份标志,实现会话保持。 | Cookie的作用、如何产生、如何下发、如何保存和如何使用。 | 🌟🌟 |
| Cookie的格式与属性 | Cookie包含name、value和多个属性(如expires、max-age、domain、path等)。 | 理解Cookie的各个属性及其作用,特别是expires和max-age的优先级关系。 | 🌟🌟🌟 |
| Cookie的存储与管理 | Cookie可以保存在内存或磁盘上,取决于是否有过期时间。浏览器负责管理本地的Cookie。 | Cookie的存储位置、存储方式(明文、加密)、管理权限(可修改、可删除)。 | 🌟🌟 |
| Cookie的应用场景 | 1. 保持会话(免登录);2. 记住登录状态;3. 跟踪用户行为,做精准广告推送。 | 区分保持会话和记住登录状态的不同,理解Cookie在广告推送中的应用。 | 🌟🌟🌟 |
| Cookie的隐私与安全 | 使用Cookie需经过用户允许,用于权限管理、数据分析和用户行为跟踪等。国内网站较少询问用户是否允许使用Cookie。 | Cookie的隐私保护问题,用户允许的重要性,以及国内外网站在Cookie使用上的差异。 | 🌟🌟🌟🌟 |