“ Cookie与身份认证。”
提到HTTP协议,不可避免地都会牵涉到Cookie,可以说,Cookie作为HTTP的重要组成部分,促进了HTTP协议的发展壮大。
HTTP协议如果没有了Cookie,将会是一个无状态,无法便捷地进行用户识别的协议。
通常,Cookie由服务端产生,然后在HTTP会话中发往客户端,并在客户端被维护,根据设置,一个Cookie将会有一定的作用域,通常会对一个或者多个域名起作用,一个HTTP请求将会携带属于它的Cookie。同时,Cookie有生命周期,它由服务端下发时确定。
Cookie的作用是用于区分识别用户身份,进行会话跟踪、会话管理、个性化服务及行为跟踪。
客户端在发起HTTP请求时会根据客户端的当前情况确定是否携带Cookie,如果携带,则在HTTP请求头中表现为字段“Cookie: ”;服务器则在收到HTTP请求时根据具体情况确定是否要设置客户端的Cookie,如果要设置,则在HTTP响应头中表现为字段“Set-Cookie:”。
一个典型的HTTP会话如下:
会话中请求端携带了客户端所存在的Cookie,服务端收到后,设置新的Cookie,将旧Cookie覆盖。
在响应头中,经常会有多个“Set-Cookie:”项,而在“Set-Cookie:”字段中,必要时会有“Expires”项,告知客户端当前Cookie项的过期时间。
Cookie很简单,但是,由于一些APP或者网站的低级设计,经常会有很多敏感信息在Cookie中被携带。
由于Cookie用来进行身份认证的特殊性,如果拿到了某个网站或APP的某个用户的Cookie信息,基本上就可以冒充这个用户,进行很多的操作和获取很多重要的信息了,很多使用Cookie验证用户的网站,很少使用其它措施来进行用户的二次验证,历史上很多的网站泄露事件都是通过Cookie的泄露来进行的。
Cookie还有一个重要的作用,就是用来精准推送广告。
随着时代的进步,网络的发展,很多网站将HTTP升级为HTTPS,当然,Cookie作为HTTP的重要部分,在HTTPS中会继续存在,可以在“Set-Cookie:”项中加入“Secure”参数,来表示该Cookie仅供HTTPS使用。
如果一个APP完全地使用HTTPS进行数据的传输,那自然问题不大,但现实是,很多的APP,HTTP和HTTPS混用,然后,二者的Cookie也混用,使HTTPS访问敏感信息的Cookie能够轻松地从HTTP会话中获取到,最终导致信息的泄露,防不胜防。
去某咖啡厅,伪装个热点,你会获取到大量泄露的Cookie,然后,别乱玩呀,看看就可以了,要做一个合法的公民。
长按进行关注。