HTTP协议解析之Cookie

Posted 协议分析与还原

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HTTP协议解析之Cookie相关的知识,希望对你有一定的参考价值。

 Cookie与身份认证。


提到HTTP协议,不可避免地都会牵涉到Cookie,可以说,Cookie作为HTTP的重要组成部分,促进了HTTP协议的发展壮大。


HTTP协议如果没有了Cookie,将会是一个无状态,无法便捷地进行用户识别的协议。


通常,Cookie由服务端产生,然后在HTTP会话中发往客户端,并在客户端被维护,根据设置,一个Cookie将会有一定的作用域,通常会对一个或者多个域名起作用,一个HTTP请求将会携带属于它的Cookie。同时,Cookie有生命周期,它由服务端下发时确定。


Cookie的作用是用于区分识别用户身份,进行会话跟踪、会话管理、个性化服务及行为跟踪。


客户端在发起HTTP请求时会根据客户端的当前情况确定是否携带Cookie,如果携带,则在HTTP请求头中表现为字段“Cookie: ”;服务器则在收到HTTP请求时根据具体情况确定是否要设置客户端的Cookie,如果要设置,则在HTTP响应头中表现为字段“Set-Cookie:”。


一个典型的HTTP会话如下:


会话中请求端携带了客户端所存在的Cookie,服务端收到后,设置新的Cookie,将旧Cookie覆盖。


在响应头中,经常会有多个Set-Cookie:”项,而Set-Cookie:”字段中,必要时会有“Expires”项,告知客户端当前Cookie项的过期时间。


Cookie很简单,但是,由于一些APP或者网站的低级设计,经常会有很多敏感信息在Cookie中被携带。


由于Cookie用来进行身份认证的特殊性,如果拿到了某个网站或APP的某个用户的Cookie信息,基本上就可以冒充这个用户,进行很多的操作和获取很多重要的信息了,很多使用Cookie验证用户的网站,很少使用其它措施来进行用户的二次验证,历史上很多的网站泄露事件都是通过Cookie的泄露来进行的。


Cookie还有一个重要的作用,就是用来精准推送广告。


随着时代的进步,网络的发展,很多网站将HTTP升级为HTTPS,当然,Cookie作为HTTP的重要部分,在HTTPS中会继续存在,可以在Set-Cookie:”项中加入“Secure”参数,来表示该Cookie仅供HTTPS使用。


如果一个APP完全地使用HTTPS进行数据的传输,那自然问题不大,但现实是,很多的APP,HTTP和HTTPS混用,然后,二者的Cookie也混用,使HTTPS访问敏感信息的Cookie能够轻松地从HTTP会话中获取到,最终导致信息的泄露,防不胜防。


去某咖啡厅,伪装个热点,你会获取到大量泄露的Cookie,然后,别乱玩呀,看看就可以了,要做一个合法的公民。



长按进行关注。





以上是关于HTTP协议解析之Cookie的主要内容,如果未能解决你的问题,请参考以下文章

Cookie深度解析

应用层协议实现系列——HTTP服务器之http协议解析

爬虫学习 06.Python网络爬虫之requests模块

Git内部原理之深入解析传输协议

单点登录原理解析

http协议解析