cookie
我相当于浏览器客户端,发廊相当于网站服务端; cookie相当于会员卡;网站产生cookie,由客户端保存; 我以后每次去"有间"发廊要带上会员卡,浏览器客户端,每次向网站发送请求,要带上cookie;
为什么要使用cookie? 为了避免频繁的登录操作,还能证明我们的身份! 我们浏览网站资源(去理发),只需登录一次(办一次卡),就可以在一定的时限内(2018年12月31日前),随意访问网站的网页(红毛/黄毛/紫毛/烫头/光头/半光头,任你挑...)
关于session 同理,网站给我们的cookie只是存储了"证明"我们身份的信息,不会把重要的信息存放到cookie中;你可能会问:重要的信息存在哪儿? 答:重要信息存在session中! session由网站数据库保存,保障了信息的安全! session依赖于cookie(正如卡内的"余额"依赖于会员卡)
cookie的"盗用": 我开通了"某度文库"会员,登录后,我的cookie就有了访问"会员专属"资源的权限,如果有人"盗用"了我的cookie,就可以在不知道我账户和密码的前提下,以我的身份登录网站,下载"会员专属"资源...
cookie是什么
更深一点(假的ATM机:CSRF): 我们的浏览器对于不同网站的cookie是分开存放的,浏览器会根据请求的域名判定,发送不同的cookie(进不同的店,用不同的会员卡!),但这种机制并不安全,比如百度的网站内的某张图片,嵌入了新浪的链接(这个链接可以是一个get请求),如果你点击了这张图片,就相当于对新浪的服务器发送了get请求(请求被人事先精心设计过),上面的这种攻击被称为CSRF(Cross Site Request Forgery),译为跨站请求伪造! 2008年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、YouTube和百度HI等!现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。