网安 - 专业的网络安全产业、社区、知识平台

Cookie、Session机制详解及PHP中Session处理

VSole2022-05-05 06:42:32

会话机制

Cookie/Session
在web应用中,常用的会话追踪机制是Cookie和Session。而Cookie是通过在浏览器里记录确定用户身份,Session在服务器端记录信息确定用户身份。
Http协议
http协议本身是无状态的,也就是说我们无法通过http协议来确定该次请求的用户身份,所以,通常的做法是需要通过Cookie和Session机制确定会话用户身份。

Cookie

简介:
Cookie是存储在客户端的,用来记录信息。其实单纯来说,仅采用Cookie也是可以追踪用户会话,只是这样安全性会大大降低(例如:最粗暴的将用户登录的用户名、密码写入cookie,每次请求验证用户名密码,根据验证结果决定是否允许进行接下来的业务处理)。
Cookie创建及如何发送给客户端:
cookie创建:cookie由服务端创建(也就是服务端决定要往cookie写入什么内容)。在PHP中,当setCookie函数执行后,默认会将cookie写入到客户端中。
setCookie('name', 'nameValue');
echo 'success';

当在浏览器中执行上述代码时,会将cookie写入到浏览器中。

Cookie使用
cookie一般是在登录成功后,完成写入,将其返回给客户端。客户端下次请
求时会带入cookie,服务端通过获取cookie内容进行验证会话信息。

Cookie有效期及跨域问题:
cookie是可以设置有效期的,默认是浏览器关闭时,cookie自动失效。
cookie存在跨域问题(浏览器同源策略保护),例如,childB.B.com和Child2B.B.com虽然都在一级域名B.com下,但是由于二级域名不同,所以cookie也无法在Child2B.B.com下使用(这也是为什么前后端分离项目中,不采用cookie、session机制的原因)。
跨域问题解决:
跨域问题可以通过在服务端设置允许cookie访问的域名或在nginx中配置允许跨域域名Cookie跨域解决方案
header('Access-Control-Allow-Origin: Child2B.B.com');
header('Access-Control-Allow-Credentials: true');

Session:

简介:
在服务端保存用户信息,追踪用户的会话记录。
原理分析:
当浏览器通过http协议请求服务端时,服务端会为用户创建session。在创建session时,会检查是否包含一个唯一的会话id,即sessionId。
(1)若有该sessionId,则表示已经为用户创建过会话,通过sessionId从session中获取用户信息,执行下面的业务处理;
(2)若没有该sessionId,则表示还未创建过会话,服务端会创建session,为该session关联唯一的sessionId,将sessionId返回客户端。
通常情况下,session会和cookie配合使用,即将session生成的sessionId通过cookie写入浏览器。浏览器在下次请求时,带入cookie,服务端通过cookie获取sessionId,进而获取session信息。
禁用cookie的sessionId Url重写:
当浏览器禁用cookie时,是没法通过cookie带入sessionId的,可以通过将sessionId附着在url中传入服务端。
在PHP中当php.ini中的session.use_trans_sid = 1时,若浏览器禁用cookie会自动将sessionId附着在url上进行传递。
PHP对session的处理方式:
PHP默认通过文件的形式存储session,即生成sessionId时,相应服务器也会生成一个sess_sessionId的文件,在该文件中会存储session信息。
PHP支持通过session_set_save_handler()函数设置支持的session驱动session_set_save_handler()函数,要求自定义的session处理类需要实现SessionHandlerInterface接口(或者是已经实现了该接口的sessionHandler)。
例如:在tp5中,实现了三种驱动方式:redis/memcache/memcached。

会话机制小结:

总得来说,由于http协议的无状态,所以需要单独的会话追踪机制来保持用户会话,session是在服务端存储用户信息追踪会话,cookie是在客户端存储用户信息。session在服务端生成sessionId,通常做法是需要通过浏览器cookie来存储,配合使用来确定用户会话信息。

如侵权请私聊公众号删文

cookiesession
本作品采用《CC 协议》,转载必须注明作者和本文链接
CookieSession机制详解及PHP中Session处理
2022-05-05 06:42:32
会话机制Cookie/Session:在web应用中,常用的会话追踪机制是CookieSession
跨越语言的艺术:Flask Session 伪造
2023-10-26 10:49:02
跨语言移植一直是技术领域内难以解决的问题,需要解决语言之间的约束,好在先前我们成功使用 Go 实现了 IIOP 协议通信,有了前车之鉴,所以这次我们将继续使用跨语言方式实现 Flask Session 伪造。本文以 Apache Superset 权限绕过漏洞(CVE-2023-27524) 为例讲述我们是如何在 Go 中实现 Flask 框架的 Session 验证、生成功能的。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
2020-08-24 18:03:39
它最初于2002年在Microsoft Internet Explorer 6 SP1中实现,以防止敏感信息被盗。所有现代的后端语言和环境都支持设置HttpOnly标志。该标志防止通过中间人攻击盗窃cookie 。请注意,只能在HTTPS连接期间设置此标志。此标志用于帮助防止跨站点请求伪造攻击。例如,在2019年,Google Chrome浏览器更改了SameSite cookie的默认行为。即使cookie标志对于许多攻击有效,也不能用作跨站点脚本的补救措施。攻击者可能想出办法来规避限制。
浅析JWT安全问题
2022-08-08 15:44:18
观察确定为JWT,将payload处字符base64解码得??把sub的wiener修改为administrator,重新传参??成功越权,然后就是删除用户即可?然后前往jwt.io生成我们需要的的jwt,把sub和secret进行修改??重新传包,成功?
花点时间弄懂XSS攻击
2022-06-10 22:31:38
由于直接在用户的终端代码执行,恶意代码能够直接获取用户的信息,利用这些信息冒充用户向网站发起攻击请求.XSS攻击有哪些类型?反射型XSS反射型XSS漏洞常见于通过URL传递参数的功能,如网站搜索,跳转等。如何防御反射型XSS攻击对url查询参数进行转义后再输出到页面。
强的离谱,这款国产API管理神器杀疯了!
2022-07-15 17:03:25
二. Apifox 做的改进1. Apifox的整体功能定位Apifox 是 API 文档、API 调试、API Mock、API 自动化测试一体化协作平台。支持 Markdown 所见即所得地编写非 API 文档的普通文档。API 文档支持密码保护和生效时间,可生成多份不同内容和权限的文档。支持绑定接口,接口发生变化时,自动更新测试用例。支持执行循环次数和用例之间设置时间间隔。
(RV34X,160,260) 多漏洞攻击链研究
2022-04-28 06:15:14
程序直接检查是否存在该sessionid文件,但是如果将sessionid构造为指定路径下已存在的文件,即可绕过身份验证逻辑缺陷2:在upload.cgi文件sub_10DC4函数中,存在逻辑缺陷漏洞。
【技术分享】Python安全 - 从SSRF到命令执行惨案
2022-04-02 08:29:24
起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。
[VNCTF2022]gocalc0复现
2022-05-07 16:02:38
看雪论坛作者ID:H3h3QAQ
VSole
网络安全专家