XSS注入-1
包含:
- 无状态的HTTP
- Cookie和Session
- 什么是XSS
- XSS的防御
无状态的HTTP
HTTP特点
- 请求应答模式(http1.1及以前,2.0下服务器可以向客户端push)
- 灵活可扩展
- 可靠传输(基于tcpip)
- 无状态
Cookie和Session
Cookie
Cookie特点:
- 明文
- 可修改
- 大小受限(视浏览器而定)
Cookie用途:
- 记住登陆状态
- 跟踪用户行为
Set-Cookie:第一次访问,服务器响应给客户端
Cookie:之后的访问,客户端发送给服务器
| MIME | 描述 |
|---|---|
| name=value | cookie的键值对(必须) |
| expires | 过期时间(设置了就存在磁盘,并不设置就在内存) |
| max-age | 多久过期(秒 |
| domain | 对哪个域名生效 |
| path | 匹配的路径 |
| secure | 只有HTTPS连接菜发送cookie到服务器 |
| httponly | 不允许通过脚本document.cookie去更改这个值 |
Session
