2、后台验证-COOKIE&SESSION
2.接收账号密码
3.判断账号密码准确性
正确->成功登录,跳转页面
失败->跳转到重新登录页面
后台管理系统有多个文件页面,为了方便验证,一般会选用cookie或者session进行验证
登录后验证发送的cookie或者session就不需要重复的登陆验证操作
cookie:身份验证,存储到客户端浏览器内
尽管Cookie有助于实现用户认证、会话管理和个性化体验等功能,但它们也存在一些安全问题,如下所示:
-
跨站脚本攻击(XSS):攻击者可以通过注入恶意脚本代码到Cookie中,使得用户在浏览器中执行这些恶意脚本。这可能导致用户的会话信息被窃取,或者用户被重定向到恶意网站。
-
跨站请求伪造(CSRF):攻击者可以利用Cookie中的身份验证信息来伪造请求,以执行未经用户授权的操作。例如,攻击者可以欺骗用户点击恶意链接,从而执行他们在受害者名义下的操作。
-
会话劫持:攻击者可以窃取用户的Cookie,从而获取用户的会话信息,并冒充用户的身份进行操作。这可能导致用户的账户被盗取,或者用户的个人信息泄露。
-
不安全的传输:如果Cookie在传输过程中未经适当的加密保护,攻击者可以窃听或篡改Cookie的内容。这可能导致用户的敏感信息泄露或被篡改。
篡改Cookie:攻击者可以修改Cookie的值,包括用户的身份标识、权限等。通过篡改Cookie,攻击者可以冒充其他用户的身份,执行未经授权的操作。
可能造成的问题:
sql注入
cookie修改
session未刷新