4.2浏览器的Cookie机制

4.3浏览器Cookie机制

CSRF攻击

• CSRF攻击得前提是用户处于登录状态
• 可能会注意到一个情况,有些网站提供了“记住我”或者是“1个月之内免登录”的
  功能
• 毫无疑问,这使用户方便了许多,在登录网站时无须再次输入密码
• 但当攻击者进行CSRF攻击时,用户也更容易中招。

Cookie得两种表现形式

本地Cookie（持久性Cookie）

• 持久型 Cookie是服务器端脚本语言向客户端发送 Cookie时制定了时效
• 也就是 Expire字段,而且会存储于本地
• 当 Expire所制定的时效过期后, Cookie将失效。

临时Cookie(Session Cookie)

• Session Cookie则没有制定 Expire时效
• 是存储在浏览器内存中的,当浏览器关闭后, Session cookie也随之消失。

测试案例

编写测试代码cookietest.php

访问同域下的页面时:

无论是 Session Cookie

还是本地 Cookie

Cookie将会一起被发送

案例分析（上一篇CSRF案例）

第一步 登录hello账号

第二步 查看cookie信息

第三步 访问hack链接，查看网络状态

摘抄

---

无论你多聪明、多能干、条件有多好，
如果人品不过关，
那么谈什么都没有用。
做人，
永远都是做事的大前提。

---