专栏首页木子昭的博客<讲个故事>cookie是什么?

<讲个故事>cookie是什么?

cookie

前几天,去"有间"发廊理发,人很多,理发小哥建议办张会员卡,可以VIP通道免排队,还有充599送100的优惠,适逢月初,还没到吃土的时节,充值600,办了会员卡...


会员卡

VIP编号 | 20171011

会员姓名| 昭昭

有效期至| 2018年12月31日


我相当于浏览器客户端,发廊相当于网站服务端; cookie相当于会员卡;网站产生cookie,由客户端保存; 我以后每次去"有间"发廊要带上会员卡,浏览器客户端,每次向网站发送请求,要带上cookie;

一个月后,我又去理发,换了理发师,为了证明"尊贵的身份",我默默亮出了会员卡...

为什么要使用cookie? 为了避免频繁的登录操作,还能证明我们的身份! 我们浏览网站资源(去理发),只需登录一次(办一次卡),就可以在一定的时限内(2018年12月31日前),随意访问网站的网页(红毛/黄毛/紫毛/烫头/光头/半光头,任你挑...)

我充值了599,会员卡没有注明充值的金额,事实上,发廊也不可能把"余额"信息存在卡片里,如果"余额"被人随意篡改,<"有间"发廊>就会变成<"从前有间"发廊>...

关于session 同理,网站给我们的cookie只是存储了"证明"我们身份的信息,不会把重要的信息存放到cookie中;你可能会问:重要的信息存在哪儿? 答:重要信息存在session中! session由网站数据库保存,保障了信息的安全! session依赖于cookie(正如卡内的"余额"依赖于会员卡)

身份证会采集我们很多的个人信息(指纹,DNA),全面验证我们的个人身份;会员卡只有很少的个人信息,如果手滑把会员卡丢了,其他人获得后,可以直接使用...

cookie的"盗用": 我开通了"某度文库"会员,登录后,我的cookie就有了访问"会员专属"资源的权限,如果有人"盗用"了我的cookie,就可以在不知道我账户和密码的前提下,以我的身份登录网站,下载"会员专属"资源...

cookie是什么

更深一点(假的ATM机:CSRF): 我们的浏览器对于不同网站的cookie是分开存放的,浏览器会根据请求的域名判定,发送不同的cookie(进不同的店,用不同的会员卡!),但这种机制并不安全,比如百度的网站内的某张图片,嵌入了新浪的链接(这个链接可以是一个get请求),如果你点击了这张图片,就相当于对新浪的服务器发送了get请求(请求被人事先精心设计过),上面的这种攻击被称为CSRF(Cross Site Request Forgery),译为跨站请求伪造! 2008年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、YouTube和百度HI等!现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Express新手入坑笔记之动态渲染HTML

    这里的public不会显示在url中, 为了方便判别静态文件的url请求, 我们在public内新建一个static文件夹, 这样所有请求静...

    zhaoolee
  • 两个玻璃球 测试极限高度

    一道有趣的智力题目: 已知,玻璃球从某高楼落到地面会摔碎,楼的最大高度为100层,给你两个玻璃球,请你最快的测出,能使玻璃球摔碎的最低楼层... ? ...

    zhaoolee
  • 支持Linux下聊微信,跨服聊天神器Franz使用方法:

    zhaoolee
  • Django中的session的使用

    Django中默认支持Session,其内部提供了5种类型的Session供开发者使用:

    BigYoung小站
  • 爬虫中关于cookie的运用

    作者:** 链接:https://www.zhihu.com/question/46778996/answer/125431381

    十四君
  • JavaWeb11-jsp.cookie.session(1)

    ? Jsp&cookie & session 一.jsp 1. jsp的介绍 JSP全名为Java Server Pages,中文名叫java服务器页面,本质...

    奋斗蒙
  • 前端面试基础题:请描述⼀下 cookies , sessionStorage 和 localStorage 的区别?

    iOSSir
  • nginx.conf文件浅析

    #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ]

    随心助手
  • 五个让你重新审视市场营销策略的举证

    市场营销可以加速业务的快速增长,今天的市场营销比以往任何时候都更加重要。市场营销正逐步转移到数字渠道上,需要市场营销人员能更快的掌握新的工具,把握机会并进行变革...

    臭豆腐
  • ASP.NET Core知多少(7):对重复编译说NO -- dotnet watch

    ASP.NET Core知多少系列:总体介绍及目录 1. 引言 我们一般的开发过程,就是编码-->编译-->运行-->调试-->定位问题--->修改代码-->...

    圣杰

扫码关注云+社区

领取腾讯云代金券