cookie注入原理，cookie注入payload

26_聊一下cookie、session和token三者的区别及使用

session的使用方式是客户端cookie里存id，服务端session存用户数据，客户端访问服务端的时候，根据id找用户数据。

Cookie其实也充当的是令牌作用，但它是“有状态”的； 而Token令牌是无状态的，更利于分布式部署。 session和cookie 在讲Token之前，先简单说说什么是session和cookie。

HTTP 是无状态的协议，服务端无法确认访问者的身份。

在post请求的瞬间，cookie会被浏览器自动添加到请求头中。

web服务器通用cookie注入漏洞怎么防御

第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。

Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。

需要是开发人员要好的编码习惯，懂得常见的漏洞防范等。最好别使用外面开源的系统。购买一些防火墙产品，比如一些waf，一些开源的waf系统等等，可以防护大部分这类的web攻击。使用第三方的云防护服务。

修复：建议不要用JDK中的XmlDeocder类，寻求其它更安全的xml解析工具类，考虑是否删除WLS-WebServices组件。 修复：补丁限定了object，new，method，void，array等字段，限定了不能生成java 实例。

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

怎么一个网站有判断cookies注入

目前比较准确的检测注入漏洞的方法是进行网站漏洞扫描，推荐EeSafe网站安全联盟。

网页cookie查询方法如下：打开浏览器，可以使用电脑自带的浏览器合下载的其它浏览器。打开浏览器之后，在出现的网页里点击键盘中的f12键。点击f12键之后，会弹出一个控制台。

防御SQL注入有妙法 第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。

不懂前后端分离?这篇就够

1、前后端分离的意思是，前后端只通过JSON来交流，组件化、工程化不需要依赖后端去实现。

2、前后端分离并不只是开发模式，而是web应用的一种架构模式。在开发阶段，前后端工程师约定好数据交互接口，实现并行开发和测试；在运行阶段前后端分离模式需要对web应用进行分离部署，前后端之前使用HTTP或者其他协议进行交互请求。

3、前后端分离的意思是：前后端分离并非仅仅只是一种开发模式，而是一种架构模式。前后端分离已成为互联网项目开发的业界标准使用方式，通过【nginx+tomcat】的方式，也可以中间加一个nodejs，有效的进行解耦。

4、前后端分离，顾名思义就是前端只负责前端的开发，后端只只负责后端的开发，如何通过接口来进行数据交互。