Cookie是什么

Cookie是什么:Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

一、Cookie是什么

Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录用户个人信息的功能, 而这一切都不必使用复杂的CGI等程序。

所谓“cookie”数据是指某些网站为了辨别用户身份,储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

通俗来讲就是指缓存数据,包括用户名、密码、注册账户、手机号等公民个人信息。

二、安全威胁

Cookie捕获/重放

攻击者可以通过木马等恶意程序,或使用跨站脚本攻击等手段偷窃存放在用户硬盘或内存中的Cookie。借助网络攻击手段,包括在不安全的局域网中被动地监听网络通信;通过攻击网络用户的路由器,或通过搭建恶意的无线路由器等手法,控制路由基础设施,将网络流量重定向到攻击者控制的主机;发动DNSPharming(域欺骗)攻击,通过DNS缓存中毒、DNS应答欺骗、或修改用户端的本地域名解析文件等方法攻击DNS系统,导致用户对合法网站的访问请求被重定向到恶意网站等等,同样可能窃取Cookie。对于捕获到的认证Cookie,攻击者往往会猜测其中的访问令牌,试图获取会话ID、用户名与口令、用户角色、时间戳等敏感信息;或者直接重放该Cookie,假冒受害者的身份发动攻击。

恶意 Cookies

Cookies 是文本文件, 一般情况下认为它不会造成安全威胁。 但是,如果在 Cookies 中通过特殊标记语言,引入可执行代码,就很可能给用户造成严重的安全隐患。HTML 为区别普通文本和标记语言,用符号“<>”来指示HTML 代码。 这些 HTML 代码或者定义 Web 网页格式,或者引入 Web 浏览器可执行代码段。 Web 服务 器可以使用Cookies 信息创建动态网页。假使 Cookies 包含可执行恶意代码段,那么在显示合成有该 Cookies 的网页时,就会自动执行这段恶意代码。当然,恶意代码能否真正造成危害,还取决于Web 站点的安全配置策略。

会话定置

会话定置(Session Fixation)攻击是指,攻击者向受害者主机注入自己控制的认证Cookie等信息,使得受害者以攻击者的身份登录网站,从而窃取受害者的会话信息。注入Cookie的方法包括:使用跨站脚本或木马等恶意程序;或伪造与合法网站同域的站点,并利用各种方法欺骗用户访问该仿冒网站,从而通过HTTP响应中的Set-Cookie头将攻击者拥有的该域Cookie发送给用户等。

CSRF攻击

跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是指,攻击者可能利用网页中的恶意代码强迫受害者浏览器向被攻击的Web站点发送伪造的请求,篡夺受害者的认证Cookie等身份信息,从而假冒受害者对目标站点执行指定的操作。Firefox、Opera等浏览器使用单进程机制,多个窗口或标签使用同一个进程,共享Cookie等会话数据。IE则混合使用单进程与多进程模式,一个窗口中的多个标签,以及使用“CTRL+N” 或单击网页中的链接打开的新窗口使用同一进程,共享会话数据;只有直接运行IE可执行程序打开窗口时,才会创建新的进程。Chrome虽然使用多进程机制,然而经测试发现,其不同的窗口或标签之间仍会共享会话数据,除非使用隐身访问方式。因而,用户同时打开多个浏览器窗口或标签访问互联网资源时,就为CSRF攻击篡夺用户的会话Cookie创造了条件。另外,如果一个Web站点提供持久化Cookie,则CSRF攻击将更直接、更容易。

延伸阅读

组成

Cookie是一段不超过4KB的小型文本数据,由一个名称(Name)、一个值(Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。其中:

(1)Name/Value:设置Cookie的名称及相对应的值,对于认证Cookie,Value值包括Web服务器所提供的访问令牌。

(2)Expires属性:设置Cookie的生存期。有两种存储类型的Cookie:会话性与持久性。Expires属性缺省时,为会话性Cookie,仅保存在客户端内存中,并在用户关闭浏览器时失效;持久性Cookie会保存在用户的硬盘中,直至生存期到或用户直接在网页中单击“注销”等按钮结束会话时才会失效。

(3)Path属性:定义了Web站点上可以访问该Cookie的目录。

(4)Domain属性:指定了可以访问该 Cookie 的 Web 站点或域。Cookie 机制并未遵循严格的同源策略,允许一个子域可以设置或获取其父域的 Cookie。当需要实现单点登录方案时,Cookie 的上述特性非常有用,然而也增加了 Cookie受攻击的危险,比如攻击者可以借此发动会话定置攻击。因而,浏览器禁止在 Domain 属性中设置.org、.com 等通用顶级域名、以及在国家及地区顶级域下注册的二级域名,以减小攻击发生的范围。

(5)Secure属性:指定是否使用HTTPS安全协议发送Cookie。使用HTTPS安全协议,可以保护Cookie在浏览器和Web服务器间的传输过程中不被窃取和篡改。该方法也可用于Web站点的身份鉴别,即在HTTPS的连接建立阶段,浏览器会检查Web网站的SSL证书的有效性。但是基于兼容性的原因(比如有些网站使用自签署的证书)在检测到SSL证书无效时,浏览器并不会立即终止用户的连接请求,而是显示安全风险信息,用户仍可以选择继续访问该站点。由于许多用户缺乏安全意识,因而仍可能连接到Pharming攻击所伪造的网站。

(6)HTTPOnly 属性 :用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HTTPOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。

文章标题:Cookie是什么,发布者:E.Z,转载请注明出处:https://worktile.com/kb/p/51714

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
E.ZE.Z站长
上一篇 2023年5月10日
下一篇 2023年5月10日

相关推荐

  • 敏捷开发与瀑布开发相比有什么优势

    敏捷开发与瀑布开发相比优势有:1、更快交付价值;2、更低的风险;3、拥抱变化;4、更好的质量。更快交付价值指敏捷是基于价值驱动交付,项目团队要尽快地、频繁地向客户交付可供使用的产品,以此让客户及早地将产品投入市场,验证其商业价值。

    2023年1月9日
    24600
  • SaaS的优点和功能有哪些

    SaaS的优点和功能有:1、可重复使用;2、降低企业成本;3、更快地提供解决方案;4、灵活的收费方式;5、可扩展性和集成性;6、开箱即用,缩减部署时间;7、安全高效; 8、避免盗版。其中,SaaS的可重复使用意味着能提供具有高度可复制的“标准化”的解决方案。 一、可重复使用 可重复使用 SaaS的最…

    2023年4月30日
    9800
  • Android开发中用SQLite保存时间最好是存成什么类型

    Android开发中用SQLite保存时间最好是存成integer类型。unix时间是通用的标准表达方法,一般直接存成integer就好了,它只表示一串数字,当初设计保存成秒就是秒,保存成毫秒那就是毫秒。至于保存成datetime,即便是mysql上,一般也不怎么推荐。 Android开发中用SQL…

    2023年5月30日
    11900
  • Transformer是如何处理可变长度数据的

    Transformer处理可变长度数据的方法主要包括:1、填充技术;2、位置编码;3、自注意力机制;4、掩码机制;5、分块处理;6、适应性计算。填充技术是指为短于给定长度的序列添加特定的标记,使其达到所需的长度。适应性计算是根据数据的长度和复杂性,动态地调整计算的深度或宽度,使模型能够更高效地处理不…

    2023年7月23日
    43100
  • 公司付款进度跟踪软件有哪些

    公司付款进度跟踪软件有:1、SAP Ariba;2、Coupa;3、Oracle Financials;4、Sage Intacct;5、Bill.com;6、QuickBooks;7、Xero;8、Zoho Books。SAP Ariba是一个全球领先的采购和供应链管理云平台,也提供了付款管理服务…

    2023年4月9日
    12800
  • 什么是安迪-比尔定律

    安迪-比尔定律是由英特尔的创始人之一安迪·格鲁夫提出的,它预测了微处理器的性能和成本的发展趋势。安迪-比尔定律的主要内容是:随着集成电路的规模不断增大,其性能将提高,而成本将下降。 一、定义 安迪-比尔定律是由英特尔的创始人之一安迪·格鲁夫提出的,它预测了微处理器的性能和成本的发展趋势。安迪-比尔定…

    2023年7月29日
    25900
  • 迭代回顾会议关键点是什么

    迭代回顾会议关键点是:1、小问题;2、未解决问题;3、总结大会;4、定期召开迭代会议。对于小问题,我们首先要找到原因,再看是否有更好的解决方案;未解决的问题是bug和问题;总结大会的召开是为了让整个团队总结经验教训;如果遇到重大错误,需要定期的召开迭代会议来解决。

    2022年11月15日
    29000
  • DVD-RW、DVD-ROM以及DVD-Combo有什么区别

    DVD-RW、DVD-ROM和DVD-Combo是DVD技术的三种主要类型,它们之间的区别包括:1.功能和用途不同;2.读写能力不同;3.兼容性不同;4.价格不同;5.应用场景不同。DVD-RW可以读取和重复写入,适用于需要多次更新或修改数据的场景,如数据备份、临时存储。DVD-ROM仅用于读取,用…

    2023年3月26日
    63500
  • app分发平台哪个好点

    app分发平台有:一、fir.im;二、蒲公英分发平台;三、优乐开发者服务平台。fir.im是国内首家为移动开发者提供 App 免费托管分发服务的平台,为移动开发者提供极速测试发布、崩溃收集分析、用户反馈收集等一系列开发测试效率工具服务。 一、fir.im 「fir.im」是国内首家为移动开发者提供…

    2023年3月31日
    84200
  • OKR是否可以应用于个人生活

    摘要:OKR(目标与关键结果)框架 可以应用于个人生活中,并成为个人发展和成就目标的重要工具。该框架助力个人明确发展方向和衡量进度的效率。其中的核心观点包括1、设定清晰的目标;2、定义量化的关键结果;3、周期性的检查与调整。应用OKR到个人生活可以促进自我管理,提高个人生活的组织度和目标达成率。通过…

    2023年11月15日
    1100

发表回复

登录后才能评论
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部