说说试读cookie安全读后感

冰刀

写的不咋滴
下面引用是来自
http://book.2cto.com/201301/14481.html
Web前端黑客技术揭秘 试读章节Cookie安全
引用 “Cookie是一个神奇的机制，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie，大多数情况下，客户端通过JavaScript也可以添加、修改和删除Cookie。”

这句话基本上说了cookie是什么 和怎样进行操作就不重复了

现在越来越多的黑阔用xss进行盗取用户或者管理员的cookie  盗取目标网站的用户权限

Cookie的重要字段如下：[name][value][domain][path][expires][httponly][secure]

其含义依次是：名称、值、所属域名、所属相对根路径、过期时间、是否有HttpOnly标志、是否有Secure标志。

有几个字段是有专门的机制的

一个一个来   

0x01子域Cookie机制
设置Domain 的值 可以进行共享cookie (不填为默认 本域  不能为其他域名)
比如 你是 www.fuck.com   但你 domain = bingdao.com 那是行不通的

在查关于 子域cookie机制时
找到2个相关的博文
http://blog.csdn.net/civilman/article/details/5286426  (跨子域的Cookie的清除问题  在同一个环境下的2个网站 1.fuck.com 和 2.fuck.com 共用同一组cookie 但导致不能登出的问题的解决方法)

http://hi.baidu.com/thinkinginlamp/item/b1273444b6631ff4dc0f6ce6 （子域和根域下的同名Cookie） 在子域下请求时，浏览器会把子域和根域下的Cookie一起发送到服务器，那如果子域和根域下有一个同名Cookie，当我们在PHP里使 用$_COOKIE访问时，到底生效的是哪个呢？
我也有点感兴趣就同这个博文实验了下

我直接贴图和操作了

http://pan.baidu.com/share/link?shareid=379167&uk=67876677

xiaolynn

感谢冰刀大牛分享，，

made

感谢分享

兮朵丶

感谢

风雨

同感啊  不过正常 是技术的延伸