cook与会话管理
会话管理
记住用户登陆后的认证状态是一种常见的需求,使用http认证能使浏览器记住id和密码,但是不使用http认证时,记忆认证状态的任务就交给了服务器,而像这种记忆应用程序状态的功能就叫做会话管理。
cookie
格式:cookie:phpsessid=会话id
cookie相当于服务器下达给浏览器的命令,让其记住发送给它的“名称=变量”这种格式的值。
1,最初显示页面时,返回的响应信息中含有cookie响应头信息,web服务器向浏览器下达了记住此cookie值的指示。
2.浏览器记住了cookie值,从此在向相同网站发送请求时,就会发送此cookie值
简单的来讲就是,你登陆一个网站输入个密码,服务器给你返回个cookie,每次在这个网站上进行操作的时候,就不用每次都输入密码,因为你每次的请求,浏览器会自动发送cookie和服务器进行认证。
会话id应满足的需求
不能被第三方推测
不能被第三方劫持(预防,认证后改变会话id)
不能被第三方泄露。
会话id泄露的原因
- 发行cookie时的属性指定有问题
- 会话id在网络上被监听
- 跨站脚本漏洞等应用中的安全隐患被泄露
- 会话id保存在url中的情况下,会通过referer消息头泄露
通常保护会话id不被监听,采用ssl加密
cookie的属性
| 属性 | 含义 |
|---|---|
| Domain | cookie发送对象服务器的域名 |
| path | cookie发送对象url的路径 |
| Expires | cookie的有效期限,未指定则表示至浏览器关闭为止 |
| Secure | 仅在ssl加密的情况下发送cookie |
| HttpOnly | 指定了此属性的cookie不能被javaScript访问 |
涉及安全的3个重要属性为Domain Secure HttpOnly
cookie的Domain属性
在需要向多个服务器发送cookie时,就用到了Domain属性
假设 浏览器要给三个服务器发送
a.example.jp
b.example.jp
a.example.com
设置的cookie为:set-cookie:x=123;Domain=example.jp
指定domain为example.jp,因为没有指定example.com,后者就不会被发送.
如果在cookie中指定不同的域名,就可能发生会话固定攻击,所以cookie是不能指定不通域名的。
未指定domian属性时,cookie只会发送给生成它的服务器,发送范围小,也更安全。而设置domain属性时,稍有疏忽,就会产生安全隐患。
原则上不设置ciikie的domain属性
cookie的secure属性
设置了secure属性,的cookie尽在ssl传输的情况下,能够发送给服务器
未设置的 无关是否为ssl传输,都会发送
cookie的HttpOnly属性
给cookie添加httpOnly属性,在php.ini中添加如下设置
session.cookie_httponly = on
恶意使用javascript进行跨站脚本攻击,从而取得cookie信息,窃取会话id
,设置httpOnly属性可以加大其攻击难度。
![http/https--Cookie与Sessionhttp/https–Cookie与Sessioncookie与session的区别:[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)