关于Cookie和Session补充点

一、Cookie

1、Cookie性能影响

   由于Cookie的实现机制,一旦服务器端向客户端发送了设置Cookie的意图,除非Cookie过期,否则客户端每次请求都会携带这些Cookie到服务器,一旦Cookie设置过多,将会导致报头较大。但其实大多数的Cookie并不需要带上,因为这将会造成部分带宽的浪费。在YSlow的性能优化当中有这么一条:

  • 减小Cookie的大小
     比较严重的情况是,如果在域名的根结点设置Cookie,那么几乎该网站所有子路径下的请求都会带上这些Cookie,特别是静态文件最为典型,以至于造成资源的浪费。好在Cookie在设计时限定了它的域,只有域名相同时才会发送。所以YSlow中有另一种规则来避免Cookie带来的性能影响。
  • 为静态组件使用不同的域名
     简而言之,为不需要Cookie的组件换个域名就可以实现减少无效cookie的传输。所以很多网站静态文件会有特别的域名,使得业务相关的Cookie不再影响静态文件。
     当然使用额外域名的好处不仅仅是这样,还可以突破浏览器下载线程数的限制,我们都知道现在主流浏览器的并发下载线程是六条,使用多一个域名那么将会多增加六条,这样算来,这样类推将会大大加快网站的加载速度。缺点就是,多一个域名的使用在每次访问的时候会多经历一次DNS解析的时间,但是我认为是完全值得的,并且现在基本主流网站也都在这样做。
  • 减少DNS查询
     看起来减少DNS查询和使用不同域名是两条相互冲突的规则,但是好在现今的浏览器都会进行DNS缓存,以消弱这个副作用的影响。

二、Session

 通过Cookie,浏览器和服务器可以实现状态的记录。但是Cookie并不是完美的,其一是上文所说的体积过大,其二是Cookie在前后端都可以进行修改,因此数据就可以很容的被篡改和伪造。如果服务器有部分权限管理是根据Cookie上的isVIP字段来进行判断,那么如果一个用户将字段修改,那么就可以轻易的享受vip的服务。综上所述,Cookie对于敏感数据的保护并不有效。
为了解决这个问题Session应运而生。Session的数据储存在服务器端,客户端无法修改,这样数据的安全性得到一定的保障,数据也无需在协议当中多次传递。
 关于如何将每个客户和服务器中的数据一一相连,我们最常见的就是这样一种方式:

  • 基于Cookie来实现用户和数据的信息很难伪造。因此我们只要在响应市将口令和签名进行对比,如果签名非法,我们将服务器端的数据立即过期即可。
     当然,将口令进行签名是一个不错的方案,但是如果攻击者通过某种方式获取了一个真实的口令和签名,他就能实现身份的伪装。第二种方案是将客户端的某些独有信息与口令作为原值,然后签名,这样攻击者一旦不再原始的客户端上进行访问,就会导致签名失败。这些独有信息包括用户IP和用户代理(User Agent)。
     但是原始用户与攻击者之间也存在上述信息相同的可能性,如局域网出口IP是相同的,相同的客户端信息等,纳入这些考虑能够提高安全性。通常而言,将口令存在Cookie当中不易被他人获取,但是一些别的漏洞
     其实说白了,互联网时代,人人都是光屁股,你就尽量别惹到真大佬吧,在互联网上还没有什么防御系统是完全完美的,即便现在破解不了也不代表以后某天破解不了

版权声明:玥玥 发表于 2021-03-23 7:39:58。
转载请注明:关于Cookie和Session补充点 | 女黑客导航