Web编程安全.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.3 Cookie方法 基于这个原理，上面的例子可以用Cookie来进行。即：在第一个页面中，将要共享的变量值保存在客户端Cookie文件内，在客户端访问第二个页面时，由于浏览器自动将Cookie读入之后，传给服务器端，因此只需要第二个页面中，由服务器端页面读取这个Cookie值即可。 不同的语言中对Cookie有不同的操作方法，下面以JSP为例，来编写代码。 看页面一的代码cookieP1.jsp。 运行，显示结果为： 页面上有一个链接到达cookieP2.jsp 点击cookieP1中的链接，到达cookieP2，效果为： 也能够得到结果。 存在的问题 在客户端的浏览器上，我们看不到任何的和传递的值相关的信息，说明在客户端浏览器中，Cookie中的数据是安全的。 但是就此也不能说Cookie是完全安全的。因为Cookie是以文件形式保存在客户端的，客户端存储的Cookie文件就可能敌方获知。在本例中，内容被保存在Cookie文件，如果使用的是windows XP，C盘是系统盘，该文件保存在：C:\Documents and Settings\当前用户名\Cookies下。打开该目录，可以看到里面有一个文件： 打开那个文本文件，内容为： number的值12可以被很清楚地找到。 很明显，Cookie也不是绝对安全的。如果将用户名、密码等敏感信息保存在Cookie内，在用户离开客户机时不注意清空，这些信息容易泄露，因此Cookie在保存敏感信息方面具有潜在危险。 解决Cookie安全的方法有很多，常见的有以下几种： 1：替代cookie。将数据保存在服务器端，可选的是session方案； 2：及时删除cookie。要删除一个已经存在的Cookie，有以下几种方法： 给一个Cookie赋以空置； 设置Cookie的失效时间为当前时间，让该Cookie在当前页面的浏览完之后就被删除了； 通过浏览器删除Cookie。如在IE中，可以选择“工具”——“Internet选项”——“常规”，在里面点击“删除Cookies”，就可以删除文件夹中的Cookie。如图所示： 4：禁用Cookie。很多浏览器中都设置了禁用Cookie的方法，如IE中，可以在“工具”——“Internet选项”——“隐私”中，将隐私级别设置为禁用Cookie，如图所示： 3.4 session方法 前面几种方法在传递数据时，有一个共同的问题是内容都保存在客户端，因为具有泄露的危险性。如果在不考虑服务器负载的情况下，将数据保存在服务器端，是一个较好的方案，这就是session方法。 本质上讲，会话(session)的含义是指某个用户在网站上的有始有终的一系列动作的集合。例如，用户在访问网站时，session就是指从用户登入站点到到关闭浏览器所经过的这段过程。session中的数据可以被同一个客户在网站的一次会话过程共享。但是对于不同客户来说，每个人的session是不同的。服务器上的session分配情况如图所示： 同样，不同语言对于session的控制不一样，但是原理类似。以JSP为例，本节的例子也可以用session方法来做，首先是sessionP1。 运行，效果为： 点击链接可以到达sessionP2。 点击链接之后，效果为： 可见，也可以实现页面之间数据的传递。session方法和前面几个方法相比，是相对安全的。 session经常用于保存用户登录状态。比如用户登录成功之后要访问好几个页面，但是每个页面都需要知道是哪个用户在登录，此时就可以将用户的用户名保存在session内。 存在的问题 session机制最大的不安全因素是sessionId可以被攻击者截获，如果攻击者通过一些手段知道了sessionId，由于sessionId是客户端寻找服务器端session对象的唯一标识，攻击者就有可能根据sesionId来访问服务器端的session对象，得知session中的内容，从而实施攻击。 在session机制中，很多人认为：只要浏览器关闭，会话结束，session就消失了。其实不然，浏览器关闭，会话结束，对于客户端来说，已经无法直接再访问原来的那个session，但并不代表session在服务器端会马上消失。除非程序通知服务器删除一个session，否则服务器会一直保留这个session对象，直到session超时失效，被垃圾收集机制收集掉。 但是令人