2016 - 2024

感恩一路有你

如何防止网站被篡改 假设我拿到了别的用户的淘宝网站的cookie,我放到自己的http请求里,我就可以冒充这个用户吗?

浏览量:1404 时间:2021-03-22 06:47:15 作者:admin

假设我拿到了别的用户的淘宝网站的cookie,我放到自己的http请求里,我就可以冒充这个用户吗?

理论上,如果你得到一个cookie,你就可以模仿一个用户。根据以下具体分析:

此“身份密码”由服务器生成并放置在客户端浏览器的cookie中。服务器将有一个与之对应的会话,会话ID也存储在cookie中。

如上所述,服务器的会话ID存储在客户端的cookie中,以便其他用户在cookie中获得会话ID后,可以模拟原始用户启动请求。

这似乎不合理

!但是,这是cookies和会话的机制。我们说过当cookie被禁用后,session可能无法正常工作,但是我们可以通过get将sessionid传递给服务器,因此如果sessionid以明文形式传输,则存在安全风险。

由于cookie存储在客户机中并且不安全,因此当我们将用户数据存储在cookie中时,我们将对其进行加密。例如,它将验证用户的IP、终端身份等,即使其他用户伪造Cookie,也无法验证。首先,很明显,支付宝和微信,甚至任何移动支付平台,都是按照会计理论设计的,不是程序员设计的。程序员只需编写这些计算公式。

有必要普及什么是会计原理。会计是一门平衡的学科,一门叫做借方,另一门叫做贷方。只有有路进去,才能有路出去。有出路就有出路。如果没有办法进去,就没有办法出去。这很容易理解。

任何操作都属于这个理论,即:可以省钱有余额,余额不能被代码修改。这和银行卡一样,如果银行工作人员自己写的卡余额不是很丰富吗?当你充值时,你的银行卡借款人,当你支付宝、微信账号,当你套现时,支付宝、微信账号是借款人,银行卡是贷款人。它必须是一致的。当然,如果有一个有利率的账户,就会有一个有利率的借贷票据。

因此,学习程序员不应该是一厢情愿的想法。没有人能改变这个系统,因为风险控制在上线之前就已经进行了。

如何防止网站被篡改 篡改网站数据定什么罪 如何进入网站更改数据

版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。