会话
资源划分--公有资源,私有资源(需要某种验证才可以访问的资源)
http协议--无状态,无连接
无状态--指的是服务器不保留于客户端交互时的任何状态,每次请求之前都是独立的,目的是减轻服务器的记忆负担
无连接--指的是只有当客户端发送请求时才建立连接,当请求完毕的时候直接释放这个连接,目的是为了将资源尽快的释放
cookie值--字符串(包含数字字符)
指的是网站为了辨别用户身份,在用户本地终端上存储的数据
session--指的是一种记录用户状态的机制,是一次浏览器和服务器之间交互的会话,为了记录session在客户端和服务端都要保存数据,客户端记录应该标记(session_id),服务器端存储session_id和key-value
XSS
弹窗函数:alert(),prompt(),confirm()。
javascript事件:onload当页面加载完毕后触发 <body οnlοad=alert(1)>
onerror 当页面加载发生错误时触发
onclink 当对象被点击时触发
onmouseover 当鼠标悬停在对象上方时触发
onfocus 当对象获得焦点时触发
针对转换---双写
针对过滤---双写,大小写
csrf和xss的区别:
1.csrf全程利用用户去实现操作,不需要获取用户的cookie,由用户自己去执行操作;xss需要获取cookie,利用cookie值绕过登录验证
2.csrf漏洞利用的是网站本身的漏洞,去调用网站本身的API;xss是向网站注入JS代码,然后执行JS代码,篡改网站内容
标签:触发,劫持,--,会话,session,cookie,客户端 From: https://blog.csdn.net/2302_81785888/article/details/144567300