cookie记住登陆状态，“永久登陆”如何防止cookie欺骗

yxyxp2008 2010-10-18 05:40:10

查了一些资料，给人的感觉是根本不防。。。

如果要防该怎么做呢？IP可能会变，那记录硬件信息？

“永久登陆”如何防止cookie欺骗
多谢~~

...全文

186 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

xxspark 2010-10-21

打赏
举报

回复

cookie就是一把双刃剑

yxyxp2008 2010-10-20

打赏
举报

回复

哦，原来如此。多谢。

先放放，看还有没有不同的意见，明日结帖

碧海情天-赵亮 2010-10-19

打赏
举报

回复

本身cookie就是这样的，安全与方便，不可兼得。所以所有提供这种方便功能的网站同时也都要提示这有一定的安全隐患。

而且，只要人家真想欺骗，而你又是用COOKIE，那花多少力气都没什么用，这个硬伤是改不了的。

php安全基础[1-8章] 目录：第一章：简介 1.1.PHP功能 1.1.1. 全局变量注册 1.1.2. 错误报告 1.2.原则 1.2.1. 深度防范 1.2.2. 最小权限 1.2.3. 简单就是美 1.2.4. 暴露最小化 1.3. 方法 1.3.1. 平衡风险与可用性 1.3.2. 跟踪数据 1.3.3. 过滤输入 1.3.4. 输出转义第二章表单及URL 2.1. 表单与数据 2.2. 语义URL攻击 2.3. 文件上传攻击 2.4. 跨站脚本攻击 2.5. 跨站请求伪造 2.6. 欺骗表单提交 2.7. HTTP请求欺骗第三章数据库及SQL 3.1. 访问权限暴露 3.2. SQL 注入 3.3. 数据的暴露第四章会话与 Cookies 4.1. Cookie 盗窃 4.2. 会话数据暴露 4.3. 会话固定 4.4. 会话劫持第五章包含 5.1. 源码暴露 5.2. 后门URL 5.3. 文件名操纵 5.4. 代码注入第六章文件与命令 6.1. 文件系统跨越 6.2. 远程文件风险 6.3. 命令注入第七章验证与授权 7.1. 暴力攻击 7.2. 密码嗅探 7.3. 重播攻击 7.4. 永久登录第八章共享主机 8.1. 源码暴露 8.2. 会话数据暴露 8.3. 会话注入 8.4. 文件系统浏览 8.5. 安全模式附录 A. 配置选项附录B. 函数附录C. 加密

虽然方式1能防止攻击者通过javascript脚本的方式窃取cookie，但是没办法防止攻击者通过fiddler等抓包工具直接截取请求数据包的方式获取cookie信息，这时候设置secure属性就显得很重要，当设置了secure=true时，那么cookie就只能在https协议下装载到请求数据包中，在http协议下就不会发送给服务器端，https比http更加安全，这样就可以防止cookie被加入到http协议请求包暴露给抓包工具啦。

Cookie 是存储在客户机的文本文件，它们保存了大量轨迹信息。在 Servlet 技术基础上，JSP 显然能够提供对 HTTP cookie 的支持。通常有三个步骤来识别回头客：服务器脚本发送一系列 cookie 至浏览器。比如名字，...

Cookie Cookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We

什么是cookie 指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据（通常经过加密）。（注：此定义来自百度百科） cookie对于登录的效果排除用户手动删除浏览器cookie以及cookie未过期的情况下，用户如果在某网站登录过一次，下次访问这个网站，用户不需要输入用户名和密码就可以进入网站。 cookie的生命周期创建cookie的时候，会给cookie指定一个...

10,608

社区成员

29,047

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章