当前位置:小强知识网 > 数码科技 >

假设我拿到了别的用户的淘宝网站的cookie,我放到自己的http请求里,我就可以冒充这个用户吗?

  就这个问题,理解了http协议就知道了。本题按常识来说就不可能会冒充用户,那么大的平台怎么可能安全度那么低。

  脱离常识,好好掰扯掰扯http协议才有意思。http的下层是tcp协议,tcp协议是面向连接的。http实现的时候,服务器在对客户端请求做出响应后,会主动断开连接,所以一个http请求是tcp连接到断开的一套操作。所以每次http请求都是无状态,独立的,互不联系的,也就是上次请求和下次请求没任何关系。为了让http请求间产生联系,于是就有了会话和cookie。那么会话和cookie到底是什么?你甚至可以把他俩理解成是一个东西。

  http协议的一个请求由请求行、请求头和请求数据组成,这个知识点可以自己百度。cookie其实就是请求头中的一个,它其实就是个字符串,这个字符串保存着session的唯一标识或者服务器想让保存的信息。那么这俩东西是咋用的,又是如何让多个请求联系到一起的呢?

  当你使用浏览器第一次访问某个网站的时候,http请求是不带cookie的,如果服务器使用了session或者cookie,就会在http响应中的响应头中带上cookie返回给浏览器。http响应和请求差不多,可以自行百度。浏览器收到cookie就会保存起来,同时,服务器也会把session保存起来,保存的形式可能是个文件,也可能是文件中的字符串,也可能是数据库中的一个记录等等。前面说过,cookie中保存着session的唯一标识,这样当浏览器再次请求的时候,会带上cookie,服务器就会知道请求的是那个session,这样,相互独立的http请求就产生了联系!

  题目可能没这么复杂,也没提到session,所以就更简单了!cookie如果不保存session的唯一标识,那可能会保存用户的账号和密码。如果服务器不做任何安全验证,那么肯定可以冒充用户。这和普通的用户登录没啥区别!

  但是就常识而言,淘宝网站不可能不做任何的安全验证,具体如何验证的我也不知道,有可能通过ip,有可能在cookie的基础上加个token或者其他什么的请求头!

以上就是关于假设我拿到了别的用户的淘宝网站的cookie,我放到自己的http请求里,我就可以冒充这个用户吗?的优质答案了,希望能够对广大用户有所帮助,若是大家还想了解更多相关知识及其他内容的话,那么就请关注或收藏本站!!!

猜你喜欢